BLOG

Vulnerabilidad de Blast-RADIUS: Requiere acción inmediata

Miniatura de Erin Verna
Erin Verna
Publicado el 31 de julio de 2024

Una falla en el protocolo común de red cliente-servidor, RADIUS, ha recibido mucha prensa y cobertura recientemente por parte de expertos en ciberseguridad. Descubierta por investigadores de universidades y colegas de la industria tecnológica, esta falla obtuvo un puntaje de 9 en el Sistema de puntaje de vulnerabilidad común (CVSS), lo que la ubica en territorio de vulnerabilidad crítica ( CVE-2024-3596 y VU#456537 ). Dado que el protocolo RADIUS admite la mayoría de los enrutadores, conmutadores y puntos de acceso VPN implementados desde fines de la década de 1990, esto abre la puerta de par en par para que los atacantes eviten la autenticación de usuarios mediante un ataque Mitm (man-in-the-middle) entre el cliente y el servidor RADIUS. Los atacantes podrían entonces obtener acceso a cualquier dispositivo, red o servicio de Internet que dependa del protocolo RADIUS.

¿Cómo funciona la vulnerabilidad?

Según la Base de Datos Nacional de Vulnerabilidades (NVD) del Instituto Nacional de Estándares y Tecnología (NIST) , el protocolo RADIUS "según RFC 2865 es susceptible a ataques de falsificación por parte de un atacante local que puede modificar cualquier respuesta válida (Acceso-Aceptar, Acceso-Rechazar o Acceso-Desafío) a cualquier otra respuesta utilizando un ataque de colisión de prefijo elegido contra la firma del autenticador de respuesta MD5". 

En este escenario, los atacantes pueden escalar privilegios a dispositivos y servicios de red sin recurrir a ataques de fuerza bruta como el credential stuffing. Los investigadores universitarios y las grandes organizaciones tecnológicas que descubrieron la falla crearon un sitio Blast-RADIUS que incluye información detallada sobre la vulnerabilidad y los métodos de mitigación, además de algunas preguntas y respuestas valiosas.

Para resumir brevemente, el modelo de amenaza requiere que un atacante obtenga acceso a la red y luego actúe como un “intermediario” entre el cliente RADIUS y el servidor RADIUS, lo que le permite leer, interceptar, modificar o detener paquetes entrantes y salientes. Si se utilizan proxies, el ataque podría ocurrir entre cualquier salto.

¿A quiénes afecta?

Cualquier organización con una implementación RADIUS que no utilice un Protocolo de autenticación extensible (EAP) sobre el protocolo de datagramas de usuario (UDP) es vulnerable y debería actualizar sus servidores RADIUS de inmediato. EAP es el marco de autenticación utilizado frecuentemente en conexiones de red (consulte el resumen RFC 3748 - Protocolo de autenticación extensible de IETF Datatracker). Según los investigadores, Blast-RADIUS no parece afectar a los servidores RADIUS que solo realizan autenticación EAP (aunque aun así es recomendable actualizar todo).

¿Qué deberías hacer?

Estos son los pasos que puede seguir ahora y en el futuro para proteger su red:

  1. Como se indica en el sitio Blast-RADIUS , lo primero y más importante es actualizar los servidores RADIUS de inmediato y luego los clientes siempre que sea posible. Asegúrese de habilitar las firmas criptográficas para los paquetes RADIUS a través del atributo “message-authenticator” para cada solicitud y respuesta (es decir, Access-Accept, Access-Reject o Access-Challenge).
  2. A largo plazo, tener RADIUS dentro de un canal cifrado y autenticado es la recomendación actual de los expertos en ciberseguridad.
  3. Dado que muchos atacantes dependen del malware oculto en el tráfico cifrado para violar una red, también es fundamental tener información sobre el tráfico SSL/TLS en general . Si está familiarizado con F5 BIG-IP SSL Orchestrator , esta solución es fundamental para erradicar el tráfico malicioso que se esconde detrás del cifrado para evitar que los atacantes violen su seguridad o se muevan lateralmente por todo su entorno.

¿Necesitas un pequeño repaso de RADIUS?

El protocolo de red RADIUS es un estándar reconocido por la industria para controlar el acceso a las redes a través de autenticación, autorización y contabilidad (AAA). Los protocolos RADIUS admiten casi todos los conmutadores, enrutadores, puntos de control de acceso o concentradores VPN implementados desde su desarrollo en la década de 1990.

Es justo decir que RADIUS no fue diseñado teniendo en cuenta las tácticas de amenazas de ciberseguridad actuales, dados los cambios exponenciales en el panorama de amenazas desde su debut. Pero sabemos que las vulnerabilidades son inevitables. La mejor respuesta es rápida: Siempre aplique parches y actualice en el momento que pueda. Adoptar un enfoque de seguridad en capas también es fundamental para minimizar el impacto en caso de que un atacante tenga éxito. Ya sea Blast-RADIUS o la próxima vulnerabilidad que aparecerá en los titulares, tener protecciones en cada punto clave dentro de su red es fundamental para detener el movimiento lateral de un atacante, contener sus esfuerzos y minimizar cualquier daño.