일반적인 클라이언트-서버 네트워킹 프로토콜인 RADIUS의 결함은 최근 사이버보안 전문가들의 많은 주목을 받으며 언론에 보도되었습니다. 대학 연구원과 기술 업계 동료가 발견한 이 결함은 CVSS(Common Vulnerability Score System) 점수 9점을 받아 심각한 취약점 영역( CVE-2024-3596 및 VU#456537 )에 속합니다. RADIUS 프로토콜은 1990년대 후반 이후에 배포된 대부분의 라우터, 스위치 및 VPN 액세스 포인트를 지원하므로 공격자가 RADIUS 클라이언트와 서버 간의 중간자 공격(MITM)을 통해 사용자 인증을 우회할 수 있는 가능성이 크게 높아집니다. 그러면 공격자는 RADIUS 프로토콜을 사용하는 모든 장치, 네트워크 또는 인터넷 서비스에 액세스할 수 있습니다.
국립표준기술원(NIST)의 국가 취약점 데이터베이스(NVD)에 따르면 , RFC 2865에 따른 RADIUS 프로토콜은 MD5 응답 인증자 서명에 대한 선택된 접두사 충돌 공격을 사용하여 모든 유효한 응답(액세스 허용, 액세스 거부 또는 액세스 챌린지)을 다른 모든 응답으로 수정할 수 있는 로컬 공격자의 위조 공격에 취약합니다.
이 시나리오에서 공격자는 자격 증명 채우기와 같은 무차별 대입 공격을 사용하지 않고도 네트워크 장치 및 서비스에 대한 권한을 확대할 수 있습니다. 이 결함을 발견한 대학 연구원과 거대 기술 기관이 Blast-RADIUS 사이트를 만들었는데, 이 사이트에는 취약성과 완화 방법에 대한 광범위한 정보와 몇 가지 귀중한 질문과 답변이 포함되어 있습니다.
간단히 요약하자면, 위협 모델을 사용하려면 공격자가 네트워크에 액세스한 다음 RADIUS 클라이언트와 RADIUS 서버 사이에서 "중간자" 역할을 해서 인바운드 및 아웃바운드 패킷을 읽고, 가로채고, 수정하거나 중지할 수 있어야 합니다. 프록시가 사용되는 경우 모든 홉 사이에서 공격이 발생할 수 있습니다.
사용자 데이터그램 프로토콜(UDP)을 통한 확장 가능 인증 프로토콜(EAP)을 사용 하지 않고 RADIUS를 구현한 모든 조직은 취약할 수 있으므로 즉시 RADIUS 서버를 업그레이드해야 합니다. EAP는 네트워크 연결에 자주 사용되는 인증 프레임워크입니다(IETF Datatracker의 RFC 3748 - 확장 가능 인증 프로토콜 요약 참조). 연구자들에 따르면, Blast-RADIUS는 EAP 인증만 수행하는 RADIUS 서버에는 영향을 미치지 않는 것으로 보입니다(그래도 모든 것을 업그레이드하는 것이 좋습니다).
네트워크를 보호하기 위해 지금 취할 수 있는 단계와 앞으로 취할 수 있는 단계는 다음과 같습니다.
RADIUS 네트워킹 프로토콜은 인증, 권한 부여, 계정(AAA)을 통해 네트워크 액세스를 제어하는 업계에서 인정하는 표준입니다. RADIUS 프로토콜은 1990년대 개발 이후 배포된 거의 모든 스위치, 라우터, 액세스 제어 지점, VPN 허브를 지원합니다.
RADIUS는 데뷔 이후 위협 환경이 기하급수적으로 변화했기 때문에 오늘날의 사이버 보안 위협 전략을 염두에 두고 설계되지 않았다고 말하는 것이 타당합니다. 하지만 우리는 취약점이 불가피하다는 걸 알고 있습니다. 가장 좋은 대응은 빠른 대응입니다. 가능하면 즉시 패치하고 업그레이드하세요. 공격자가 성공할 경우 영향을 최소화하기 위해 계층화된 보안 접근 방식을 채택하는 것도 중요합니다. Blast-RADIUS이든, 앞으로 헤드라인을 장식할 취약점이든, 네트워크 내의 각 주요 지점에 보호 기능을 갖추는 것은 공격자의 측면 이동을 막고, 그들의 노력을 억제하며, 피해를 최소화하는 데 도움이 됩니다.