Обнаружена критическая уязвимость в 30-летнем протоколе RADIUS

Обнаружена критическая уязвимость в 30-летнем протоколе RADIUS: уязвимость BlastRADIUS

В протоколе RADIUS, который был ключевым элементом сетевой аутентификации, обнаружена серьезная уязвимость. Эта уязвимость, скрывавшаяся на протяжении 30 лет, получила название «BlastRADIUS». Но почему она так долго оставалась незамеченной?

Что такое RADIUS?

RADIUS — это аббревиатура от «Remote Authentication Dial-In User Service». Это протокол, который аутентифицирует пользователей, пытающихся получить доступ к сети, и предоставляет им права доступа. Проще говоря, когда пользователь пытается подключиться к сети, RADIUS выполняет роль контролера, проверяющего: «Кто вы? Можно ли вам войти?»

RADIUS используется в самых разных областях, и наиболее распространенный пример, с которым мы сталкиваемся в повседневной жизни, — это система аутентификации Wi-Fi в компаниях. Рассмотрим пример.

Обычный Wi-Fi можно подключить просто введя пароль. Однако в этом случае любой, кто знает пароль, может подключиться, что делает систему уязвимой с точки зрения безопасности. Кроме того, невозможно точно определить, кто и когда подключался.

С другой стороны, корпоративные системы Wi-Fi, использующие RADIUS, работают иначе. Сотрудники подключаются к Wi-Fi, используя свой уникальный идентификатор компании и пароль. RADIUS-сервер проверяет эту информацию и разрешает доступ к сети только авторизованным пользователям. Таким образом, можно точно определить, кто и когда подключался к сети, а также повысить уровень безопасности.

В особенности, крупные компании чаще используют такие системы, поскольку сотни и тысячи сотрудников могут безопасно подключаться к сети, используя свои уникальные учетные записи.

Конечно, RADIUS используется не только для корпоративных сетей Wi-Fi:

1. Поставщики интернет-услуг (ISP): аутентификация клиентов при подключении к интернету
2. VPN: используется для безопасного подключения удаленных пользователей к корпоративной сети
3. Общедоступные точки доступа Wi-Fi: аутентификация пользователей и управление доступом
4. Мобильные сети: аутентификация смартфонов при подключении к сотовой сети

RADIUS обеспечивает централизованный способ аутентификации, позволяя администраторам эффективно контролировать доступ множества пользователей. Но в этом важном компоненте была обнаружена серьезная проблема.

Предпосылки уязвимости

Протокол RADIUS был разработан в 1991 году. Сетевая среда и концепции безопасности в то время существенно отличались от сегодняшних. Поэтому RADIUS был разработан на основе UDP. UDP обеспечивает высокую скорость, но по сравнению с современными протоколами безопасности, такими как TLS, он менее защищен.

Содержание уязвимости

BlastRADIUS (CVE-2024-3596) использует атаку на основе коллизий MD5. MD5 — это также хэш-функция, появившаяся в начале 90-х годов. Однако со временем стали выявляться уязвимости MD5. Злоумышленники могут использовать их для манипулирования ответами RADIUS-сервера. В результате они могут обойти аутентификацию и повысить свои привилегии.

Следует обратить внимание на серьезную уязвимость MD5. В настоящее время в сфере безопасности системы, использующие MD5, считаются крайне небезопасными. MD5 слишком легко взломать. Удивительно, но в последнее время стало возможно взломать хэш MD5 менее чем за минуту. Это означает, что системы, использующие MD5, могут быть взломаны в режиме реального времени.

По этой причине современные системы паролей эволюционировали от MD5 к SHA-1, SHA-2, SHA-3 и т. д. Сейчас сложно найти системы, где MD5 используется в целях безопасности. Но тот факт, что RADIUS все еще использует MD5, вызывает серьезную обеспокоенность.

Область воздействия

RADIUS является ключевым компонентом современных коммуникаций и корпоративных сетей. Как упоминалось ранее, он используется практически повсеместно: в корпоративных системах Wi-Fi, у поставщиков интернет-услуг (ISP), в общедоступных Wi-Fi, мобильных сетях, устройствах IoT и т. д. Поэтому последствия этой уязвимости могут быть очень обширными.

Меры реагирования

Исследователи рекомендуют полностью отказаться от RADIUS/UDP. В качестве альтернативы предлагается переход на RADIUS over TLS (RADSEC). Также рекомендуется внедрение многоходовой схемы и изоляция трафика RADIUS от общедоступного интернета.

BlastRADIUS — это типичный пример «ошибки проектирования», которая со временем превратилась в уязвимость безопасности. В особенности, использование устаревших криптографических технологий, таких как MD5, является серьезной проблемой. Это демонстрирует необходимость постоянного обновления протоколов безопасности в соответствии с темпами развития технологий. На данный момент случаев реальных атак, использующих эту уязвимость, не зафиксировано. Однако, учитывая потенциальные риски, необходимо принять срочные меры. В первую очередь, требуются быстрые действия со стороны производителей сетевого оборудования и администраторов.