블로그

Blast-RADIUS 취약성, 지금 당장 조치 필요

에린 베르나 썸네일
에린 베르나
2024년 7월 31일 게시

일반적인 클라이언트-서버 네트워킹 프로토콜인 RADIUS의 결함은 최근 사이버보안 전문가들의 많은 주목을 받으며 언론에 보도되었습니다. 대학 연구원과 기술 업계 동료가 발견한 이 결함은 CVSS(Common Vulnerability Score System) 점수 9점을 받아 심각한 취약점 영역( CVE-2024-3596VU#456537 )에 속합니다. RADIUS 프로토콜은 1990년대 후반 이후에 배포된 대부분의 라우터, 스위치 및 VPN 액세스 포인트를 지원하므로 공격자가 RADIUS 클라이언트와 서버 간의 중간자 공격(MITM)을 통해 사용자 인증을 우회할 수 있는 가능성이 크게 높아집니다. 그러면 공격자는 RADIUS 프로토콜을 사용하는 모든 장치, 네트워크 또는 인터넷 서비스에 액세스할 수 있습니다.

취약점은 어떻게 작동하나요?

국립표준기술원(NIST)의 국가 취약점 데이터베이스(NVD)에 따르면 , RFC 2865에 따른 RADIUS 프로토콜은 MD5 응답 인증자 서명에 대한 선택된 접두사 충돌 공격을 사용하여 모든 유효한 응답(액세스 허용, 액세스 거부 또는 액세스 챌린지)을 다른 모든 응답으로 수정할 수 있는 로컬 공격자의 위조 공격에 취약합니다. 

이 시나리오에서 공격자는 자격 증명 채우기와 같은 무차별 대입 공격을 사용하지 않고도 네트워크 장치 및 서비스에 대한 권한을 확대할 수 있습니다. 이 결함을 발견한 대학 연구원과 거대 기술 기관이 Blast-RADIUS 사이트를 만들었는데, 이 사이트에는 취약성과 완화 방법에 대한 광범위한 정보와 몇 가지 귀중한 질문과 답변이 포함되어 있습니다.

간단히 요약하자면, 위협 모델을 사용하려면 공격자가 네트워크에 액세스한 다음 RADIUS 클라이언트와 RADIUS 서버 사이에서 "중간자" 역할을 해서 인바운드 및 아웃바운드 패킷을 읽고, 가로채고, 수정하거나 중지할 수 있어야 합니다. 프록시가 사용되는 경우 모든 홉 사이에서 공격이 발생할 수 있습니다.

누가 영향을 받나요?

사용자 데이터그램 프로토콜(UDP)을 통한 확장 가능 인증 프로토콜(EAP)을 사용 하지 않고 RADIUS를 구현한 모든 조직은 취약할 수 있으므로 즉시 RADIUS 서버를 업그레이드해야 합니다. EAP는 네트워크 연결에 자주 사용되는 인증 프레임워크입니다(IETF Datatracker의 RFC 3748 - 확장 가능 인증 프로토콜 요약 참조). 연구자들에 따르면, Blast-RADIUS는 EAP 인증만 수행하는 RADIUS 서버에는 영향을 미치지 않는 것으로 보입니다(그래도 모든 것을 업그레이드하는 것이 좋습니다).

무엇을 해야 하나요?

네트워크를 보호하기 위해 지금 취할 수 있는 단계와 앞으로 취할 수 있는 단계는 다음과 같습니다.

  1. Blast-RADIUS 사이트 에 나와 있듯이, 무엇보다도 RADIUS 서버를 바로 업그레이드하고, 가능한 경우 클라이언트도 먼저 업그레이드해야 합니다. 모든 요청 및 응답에 대해 "message-authenticator" 속성을 통해 RADIUS 패킷의 암호화 서명을 활성화 해야 합니다(예: Access-Accept, Access-Reject 또는 Access-Challenge).
  2. 장기적으로, 암호화되고 인증된 채널 내에서 RADIUS를 사용하는 것이 현재 사이버 보안 전문가들의 권장 사항입니다.
  3. 많은 공격자가 암호화된 트래픽에 숨겨진 맬웨어를 이용해 네트워크를 침해하기 때문에 SSL/TLS 트래픽 전반에 대한 통찰력을 갖는 것도 중요합니다. F5 BIG-IP SSL Orchestrator 에 대해 알고 있다면 이 솔루션은 암호화 뒤에 숨은 악성 트래픽을 근절하여 공격자가 환경 전반에 침입하거나 측면 이동을 하는 것을 방지하는 데 중요한 역할을 합니다.

RADIUS에 대한 간단한 복습이 필요하신가요?

RADIUS 네트워킹 프로토콜은 인증, 권한 부여, 계정(AAA)을 통해 네트워크 액세스를 제어하는 업계에서 인정하는 표준입니다. RADIUS 프로토콜은 1990년대 개발 이후 배포된 거의 모든 스위치, 라우터, 액세스 제어 지점, VPN 허브를 지원합니다.

RADIUS는 데뷔 이후 위협 환경이 기하급수적으로 변화했기 때문에 오늘날의 사이버 보안 위협 전략을 염두에 두고 설계되지 않았다고 말하는 것이 타당합니다. 하지만 우리는 취약점이 불가피하다는 걸 알고 있습니다. 가장 좋은 대응은 빠른 대응입니다. 가능하면 즉시 패치하고 업그레이드하세요. 공격자가 성공할 경우 영향을 최소화하기 위해 계층화된 보안 접근 방식을 채택하는 것도 중요합니다. Blast-RADIUS이든, 앞으로 헤드라인을 장식할 취약점이든, 네트워크 내의 각 주요 지점에 보호 기능을 갖추는 것은 공격자의 측면 이동을 막고, 그들의 노력을 억제하며, 피해를 최소화하는 데 도움이 됩니다.