BLOG

Blast-RADIUS-Sicherheitslücke erfordert sofortiges Handeln

Erin Verna Miniaturbild
Erin Verna
Veröffentlicht am 31. Juli 2024

Ein Fehler im gängigen Client-Server-Netzwerkprotokoll RADIUS hat in letzter Zeit viel Aufmerksamkeit in den Medien und bei Cybersicherheitsexperten hervorgerufen. Dieser Fehler wurde von Forschern an Universitäten und aus der Technologiebranche entdeckt und erhielt im Common Vulnerability Score System (CVSS) einen Wert von 9, womit er in die Kategorie der kritischen Schwachstelle eingestuft wurde ( CVE-2024-3596 und VU#456537 ). Da das RADIUS-Protokoll die meisten seit den späten 1990er Jahren eingesetzten Router, Switches und VPN-Zugriffspunkte unterstützt, öffnet es Angreifern Tür und Tor, die Benutzerauthentifizierung durch einen Man-in-the-Middle-Angriff (MITM) zwischen RADIUS-Client und -Server zu umgehen. Angreifer könnten dann Zugriff auf jedes Gerät, Netzwerk oder jeden Internetdienst erhalten, der auf dem RADIUS-Protokoll basiert.

Wie funktioniert die Sicherheitslücke?

Gemäß der National Vulnerability Database (NVD) des National Institute of Standards and Technology (NIST) ist das RADIUS-Protokoll „unter RFC 2865 anfällig für Fälschungsangriffe durch einen lokalen Angreifer, der mithilfe eines Chosen-Prefix-Kollisionsangriffs gegen die MD5 Response Authenticator-Signatur jede gültige Antwort (Access-Accept, Access-Reject oder Access-Challenge) in jede andere Antwort ändern kann.“ 

In diesem Szenario können Angreifer die Berechtigungen für Netzwerkgeräte und -dienste erhöhen, ohne auf Brute-Force-Angriffe wie Credential Stuffing zurückgreifen zu müssen. Von den Universitätsforschern und Big-Tech-Unternehmen, die die Schwachstelle entdeckt haben, wurde eine Blast-RADIUS-Site erstellt, die umfassende Informationen zu der Sicherheitslücke und den Methoden zur Schadensbegrenzung sowie einige wertvolle Fragen und Antworten enthält.

Um es kurz zusammenzufassen: Das Bedrohungsmodell erfordert, dass sich ein Angreifer Netzwerkzugriff verschafft und dann als „Man-in-the-Middle“ zwischen dem RADIUS-Client und dem RADIUS-Server agiert, was ihm die Möglichkeit gibt, eingehende und ausgehende Pakete zu lesen, abzufangen, zu ändern oder zu stoppen. Wenn Proxys verwendet werden, kann der Angriff zwischen jedem Hop erfolgen.

Wer ist betroffen?

Jede Organisation mit einer RADIUS-Implementierung, die kein Extensible Authentication Protocol (EAP) über User Datagram Protocol (UDP) verwendet, ist anfällig und sollte ihre RADIUS-Server sofort aktualisieren. EAP ist das Authentifizierungsframework, das häufig bei Netzwerkverbindungen verwendet wird (siehe Zusammenfassung RFC 3748 – Extensible Authentication Protocol von IETF Datatracker). Den Forschern zufolge scheint Blast-RADIUS keine Auswirkungen auf RADIUS-Server zu haben, die nur eine EAP-Authentifizierung durchführen (es ist jedoch trotzdem ratsam, alles zu aktualisieren).

Was sollten Sie tun?

Mit diesen Schritten können Sie jetzt und in Zukunft Ihr Netzwerk schützen:

  1. Wie auf der Blast-RADIUS-Site angemerkt, sollten Sie als Erstes sofort die RADIUS-Server aktualisieren und anschließend, wenn möglich, die Clients. Stellen Sie sicher, dass Sie für jede Anfrage und Antwort (z. B. Access-Accept, Access-Reject oder Access-Challenge) kryptografische Signaturen für die RADIUS-Pakete über das Attribut „Message-Authenticator“ aktivieren .
  2. Längerfristig empfehlen Cybersicherheitsexperten derzeit, RADIUS in einem verschlüsselten und authentifizierten Kanal zu verwenden.
  3. Angesichts der Tatsache, dass sich viele Angreifer auf im verschlüsselten Datenverkehr versteckte Schadsoftware verlassen, um in ein Netzwerk einzudringen, ist es außerdem von entscheidender Bedeutung, Einblick in Ihren gesamten SSL/TLS-Datenverkehr zu haben . Wenn Sie mit F5 BIG-IP SSL Orchestrator vertraut sind, wissen Sie, dass diese Lösung von entscheidender Bedeutung ist, um bösartigen Datenverkehr aufzuspüren, der sich hinter Verschlüsselung verbirgt, und um zu verhindern, dass Angreifer in Ihre Umgebung eindringen oder sich dort seitlich bewegen.

Brauchen Sie eine kleine Auffrischung zu RADIUS?

Das RADIUS-Netzwerkprotokoll ist ein branchenweit anerkannter Standard zur Steuerung des Zugriffs auf Netzwerke durch Authentifizierung, Autorisierung und Abrechnung (AAA). RADIUS-Protokolle unterstützen nahezu jeden Switch, Router, Zugriffskontrollpunkt oder VPN-Hub, der seit seiner Entwicklung in den 1990er Jahren eingesetzt wurde.

Angesichts der exponentiellen Veränderungen der Bedrohungslandschaft seit seiner Einführung kann man getrost sagen, dass RADIUS nicht für die heutigen Bedrohungstaktiken im Bereich der Cybersicherheit entwickelt wurde. Wir wissen jedoch, dass Schwachstellen unvermeidlich sind. Die beste Antwort ist eine schnelle: Führen Sie Patches und Upgrades immer durch, sobald Sie dazu in der Lage sind. Auch die Einführung eines mehrschichtigen Sicherheitsansatzes ist von entscheidender Bedeutung, um die Auswirkungen eines erfolgreichen Angreifers zu minimieren. Ob Blast-RADIUS oder die nächste Sicherheitslücke, die Schlagzeilen machen wird: Schutzmaßnahmen an jedem wichtigen Punkt Ihres Netzwerks tragen dazu bei, die seitliche Bewegung eines Angreifers zu stoppen, seine Bemühungen einzudämmen und etwaige Schäden zu minimieren.