Pesquisadores de cibersegurança descobriram uma vulnerabilidade de segurança no protocolo de autenticação de rede RADIUS denominada BlastRADIUS, que poderia ser explorada por um atacante para realizar ataques Mallory-in-the-middle (MitM) e contornar verificações de integridade sob certas circunständias.
"O protocolo RADIUS permite que certas mensagens de Access-Request não tenham verificações de integridade ou autenticação," disse Alan DeKok, CEO da InkBridge Networks e criador do projeto FreeRADIUS, em um comunicado.
Como resultado, um atacante pode modificar esses pacotes sem detecção.
O atacante seria capaz de forçar qualquer usuário a se autenticar e conceder qualquer autorização (VLAN, etc.) a esse usuário.
RADIUS, abreviação de Remote Authentication Dial-In User Service, é um protocolo cliente/servidor que fornece gerenciamento centralizado de autenticação, autorização e contabilidade (AAA) para usuários que se conectam e usam um serviço de rede.
A segurança do RADIUS depende de um hash derivado usando o algoritmo MD5, que foi considerado criptograficamente quebrado desde dezembro de 2008 devido ao risco de ataques de colisão.
Isso significa que os pacotes de Access-Request podem ser submetidos ao que é chamado de ataque de prefixo escolhido, o que torna possível modificar o pacote de resposta de forma que ele passe todas as verificações de integridade para a resposta original.
Contudo, para que o ataque seja bem-sucedido, o adversário precisa ser capaz de modificar pacotes RADIUS em trânsito entre o cliente e o servidor.
Isso também significa que organizações que enviam pacotes pela internet estão em risco devido a essa falha.
Outros fatores de mitigação que impedem a eficácia do ataque incluem o uso de TLS para transmitir tráfego RADIUS pela internet e o aumento da segurança dos pacotes via atributo Message-Authenticator.
BlastRADIUS é o resultado de uma falha fundamental de design e afirma impactar todos os clientes e servidores RADIUS compatíveis com os padrões, tornando imperativo que provedores de serviços de internet (ISPs) e organizações que utilizam o protocolo atualizem para a versão mais recente.
"Especificamente, os métodos de autenticação PAP, CHAP e MS-CHAPv2 são os mais vulneráveis," disse DeKok.
ISPs terão que atualizar seus servidores RADIUS e equipamentos de rede.
Qualquer um que utilize autenticação de endereço MAC ou RADIUS para logins de administrador em switches está vulnerável.Usar TLS ou IPSec evita o ataque, e 802.1X (EAP) não é vulnerável.
Para empresas, o atacante já precisaria ter acesso à VLAN de gerenciamento.
Além disso, ISPs podem ser suscetíveis se enviarem tráfego RADIUS por redes intermediárias, como terceirizadas ou a internet mais ampla.
Vale ressaltar que a vulnerabilidade, que é rastreada como
CVE-2024-3596
e tem uma pontuação CVSS de 9.0, afeta particularmente redes que enviam tráfego RADIUS/UDP pela internet, dado que "a maioria do tráfego RADIUS é enviada 'sem proteção'".
Não há evidências de que esteja sendo explorada ativamente.
"Esse ataque é o resultado da segurança do protocolo RADIUS sendo negligenciada por muito tempo," disse DeKok.
Embora os padrões há muito tempo sugiram proteções que teriam evitado o ataque, essas proteções não foram tornadas obrigatórias.
Além disso, muitos fornecedores nem sequer implementaram as proteções sugeridas.
O Centro de Coordenação CERT (CERT/CC), em um aviso suplementar, descreveu a vulnerabilidade como permitindo a um ator de ameaça com acesso à rede onde o Access-Request RADIUS é transportado realizar ataques de falsificação.
"Uma vulnerabilidade no protocolo RADIUS permite que um atacante forje uma resposta de autenticação em casos onde um atributo Message-Authenticator não é necessário ou aplicado," disse o CERT/CC.
Esta vulnerabilidade resulta de uma verificação de integridade criptograficamente insegura ao validar as resposta de autenticação de um servidor RADIUS.
A empresa de infraestrutura web e segurança Cloudflare publicou detalhes técnicos adicionais do
CVE-2024-3596
, declarando que RADIUS/UDP é vulnerável a um ataque de colisão de MD5 melhorado.
"O ataque permite a um Monstro-in-the-Middle (MitM) com acesso ao tráfego RADIUS ganhar acesso administrativo não autorizado a dispositivos usando RADIUS para autenticação, sem precisar forçar bruta ou roubar senhas ou segredos compartilhados," destacou.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...