BLOG

La vulnérabilité Blast-RADIUS nécessite une action immédiate

Miniature d'Erin Verna
Erin Verna
Publié le 31 juillet 2024

Une faille dans le protocole réseau client-serveur commun, RADIUS, a récemment fait l'objet de nombreuses couvertures médiatiques de la part des experts en cybersécurité. Découverte par des chercheurs d'universités et de pairs de l'industrie technologique, cette faille a obtenu un score CVSS (Common Vulnerability Score System) de 9, la plaçant dans un territoire de vulnérabilité critique ( CVE-2024-3596 et VU#456537 ). Étant donné que le protocole RADIUS prend en charge la plupart des routeurs, commutateurs et points d'accès VPN déployés depuis la fin des années 1990, il ouvre la porte aux attaquants pour contourner l'authentification des utilisateurs au moyen d'une attaque de l'homme du milieu (MITM) entre le client et le serveur RADIUS. Les attaquants pourraient alors accéder à n’importe quel appareil, réseau ou service Internet qui s’appuie sur le protocole RADIUS.

Comment fonctionne la vulnérabilité ?

Selon la base de données nationale sur les vulnérabilités (NVD) du National Institute of Standards and Technology (NIST) , le protocole RADIUS « selon la RFC 2865 est susceptible d'être victime d'attaques de falsification par un attaquant local qui peut modifier n'importe quelle réponse valide (Acceptation d'accès, Rejet d'accès ou Défi d'accès) en n'importe quelle autre réponse en utilisant une attaque par collision de préfixe choisi contre la signature de l'authentificateur de réponse MD5. » 

Dans ce scénario, les attaquants peuvent élever les privilèges des périphériques et services réseau sans recourir à des attaques par force brute telles que le vol d'informations d'identification. Un site Blast-RADIUS a été créé par les chercheurs universitaires et les organisations Big Tech qui ont découvert la faille et comprend des informations détaillées sur la vulnérabilité et les méthodes d'atténuation, ainsi que des questions et réponses précieuses.

Pour résumer, le modèle de menace nécessite qu'un attaquant ait obtenu un accès au réseau, puis agisse comme un « homme du milieu » entre le client RADIUS et le serveur RADIUS, ce qui lui permet de lire, d'intercepter, de modifier ou d'arrêter les paquets entrants et sortants. Si des proxys sont utilisés, l'attaque peut se produire entre n'importe quel saut.

Qui est concerné ?

Toute organisation disposant d’une implémentation RADIUS qui n’utilise pas un protocole d’authentification extensible (EAP) sur un protocole de datagramme utilisateur (UDP) est vulnérable et doit mettre à niveau ses serveurs RADIUS immédiatement. EAP est le cadre d'authentification fréquemment utilisé dans les connexions réseau (voir le résumé RFC 3748 - Extensible Authentication Protocol de IETF Datatracker). Selon les chercheurs, Blast-RADIUS ne semble pas avoir d'impact sur les serveurs RADIUS qui effectuent uniquement l'authentification EAP (bien qu'il soit toujours conseillé de tout mettre à niveau).

Que devez-vous faire ?

Voici les mesures que vous pouvez prendre dès maintenant et à l’avenir pour protéger votre réseau :

  1. Comme indiqué sur le site Blast-RADIUS , vous devez avant tout mettre à niveau les serveurs RADIUS immédiatement, suivis des clients dans la mesure du possible. Assurez-vous d' activer les signatures cryptographiques pour les paquets RADIUS via l'attribut « message-authenticator » pour chaque demande et réponse (c'est-à-dire, Access-Accept, Access-Reject ou Access-Challenge).
  2. À plus long terme, avoir RADIUS dans un canal crypté et authentifié est la recommandation actuelle des experts en cybersécurité.
  3. Étant donné que de nombreux attaquants s'appuient sur des logiciels malveillants cachés dans le trafic chiffré pour pénétrer un réseau, il est également essentiel d' avoir un aperçu de votre trafic SSL/TLS dans son ensemble . Si vous connaissez F5 BIG-IP SSL Orchestrator , cette solution est essentielle pour éliminer le trafic malveillant caché derrière le cryptage afin d'empêcher les attaquants de pénétrer dans votre environnement ou de se déplacer latéralement dans celui-ci.

Besoin d'un petit rappel sur RADIUS ?

Le protocole réseau RADIUS est une norme reconnue par l'industrie pour contrôler l'accès aux réseaux via l'authentification, l'autorisation et la comptabilité (AAA). Les protocoles RADIUS prennent en charge presque tous les commutateurs, routeurs, points de contrôle d'accès ou hub VPN déployés depuis son développement dans les années 1990.

Il est juste de dire que RADIUS n’a pas été conçu en tenant compte des tactiques de menace de cybersécurité actuelles, compte tenu des changements exponentiels du paysage des menaces depuis ses débuts. Mais nous savons que les vulnérabilités sont inévitables. La meilleure réponse est rapide : Appliquez toujours les correctifs et les mises à niveau dès que vous le pouvez. L’adoption d’une approche de sécurité en couches est également essentielle pour minimiser l’impact en cas de réussite d’un attaquant. Qu'il s'agisse de Blast-RADIUS ou de la prochaine vulnérabilité qui fera la une des journaux, disposer de protections à chaque point clé de votre réseau est essentiel pour arrêter les mouvements latéraux d'un attaquant, contenir ses efforts et minimiser les dommages.