Ein Fehler im gängigen Client-Server-Netzwerkprotokoll RADIUS hat in letzter Zeit viel Aufmerksamkeit in den Medien und bei Cybersicherheitsexperten hervorgerufen. Dieser Fehler wurde von Forschern an Universitäten und aus der Technologiebranche entdeckt und erhielt im Common Vulnerability Score System (CVSS) einen Wert von 9, womit er in die Kategorie der kritischen Schwachstelle eingestuft wurde ( CVE-2024-3596 und VU#456537 ). Da das RADIUS-Protokoll die meisten seit den späten 1990er Jahren eingesetzten Router, Switches und VPN-Zugriffspunkte unterstützt, öffnet es Angreifern Tür und Tor, die Benutzerauthentifizierung durch einen Man-in-the-Middle-Angriff (MITM) zwischen RADIUS-Client und -Server zu umgehen. Angreifer könnten dann Zugriff auf jedes Gerät, Netzwerk oder jeden Internetdienst erhalten, der auf dem RADIUS-Protokoll basiert.
Gemäß der National Vulnerability Database (NVD) des National Institute of Standards and Technology (NIST) ist das RADIUS-Protokoll „unter RFC 2865 anfällig für Fälschungsangriffe durch einen lokalen Angreifer, der mithilfe eines Chosen-Prefix-Kollisionsangriffs gegen die MD5 Response Authenticator-Signatur jede gültige Antwort (Access-Accept, Access-Reject oder Access-Challenge) in jede andere Antwort ändern kann.“
In diesem Szenario können Angreifer die Berechtigungen für Netzwerkgeräte und -dienste erhöhen, ohne auf Brute-Force-Angriffe wie Credential Stuffing zurückgreifen zu müssen. Von den Universitätsforschern und Big-Tech-Unternehmen, die die Schwachstelle entdeckt haben, wurde eine Blast-RADIUS-Site erstellt, die umfassende Informationen zu der Sicherheitslücke und den Methoden zur Schadensbegrenzung sowie einige wertvolle Fragen und Antworten enthält.
Um es kurz zusammenzufassen: Das Bedrohungsmodell erfordert, dass sich ein Angreifer Netzwerkzugriff verschafft und dann als „Man-in-the-Middle“ zwischen dem RADIUS-Client und dem RADIUS-Server agiert, was ihm die Möglichkeit gibt, eingehende und ausgehende Pakete zu lesen, abzufangen, zu ändern oder zu stoppen. Wenn Proxys verwendet werden, kann der Angriff zwischen jedem Hop erfolgen.
Jede Organisation mit einer RADIUS-Implementierung, die kein Extensible Authentication Protocol (EAP) über User Datagram Protocol (UDP) verwendet, ist anfällig und sollte ihre RADIUS-Server sofort aktualisieren. EAP ist das Authentifizierungsframework, das häufig bei Netzwerkverbindungen verwendet wird (siehe Zusammenfassung RFC 3748 – Extensible Authentication Protocol von IETF Datatracker). Den Forschern zufolge scheint Blast-RADIUS keine Auswirkungen auf RADIUS-Server zu haben, die nur eine EAP-Authentifizierung durchführen (es ist jedoch trotzdem ratsam, alles zu aktualisieren).
Mit diesen Schritten können Sie jetzt und in Zukunft Ihr Netzwerk schützen:
Das RADIUS-Netzwerkprotokoll ist ein branchenweit anerkannter Standard zur Steuerung des Zugriffs auf Netzwerke durch Authentifizierung, Autorisierung und Abrechnung (AAA). RADIUS-Protokolle unterstützen nahezu jeden Switch, Router, Zugriffskontrollpunkt oder VPN-Hub, der seit seiner Entwicklung in den 1990er Jahren eingesetzt wurde.
Angesichts der exponentiellen Veränderungen der Bedrohungslandschaft seit seiner Einführung kann man getrost sagen, dass RADIUS nicht für die heutigen Bedrohungstaktiken im Bereich der Cybersicherheit entwickelt wurde. Wir wissen jedoch, dass Schwachstellen unvermeidlich sind. Die beste Antwort ist eine schnelle: Führen Sie Patches und Upgrades immer durch, sobald Sie dazu in der Lage sind. Auch die Einführung eines mehrschichtigen Sicherheitsansatzes ist von entscheidender Bedeutung, um die Auswirkungen eines erfolgreichen Angreifers zu minimieren. Ob Blast-RADIUS oder die nächste Sicherheitslücke, die Schlagzeilen machen wird: Schutzmaßnahmen an jedem wichtigen Punkt Ihres Netzwerks tragen dazu bei, die seitliche Bewegung eines Angreifers zu stoppen, seine Bemühungen einzudämmen und etwaige Schäden zu minimieren.