BLOG

Vulnerabilidade Blast-RADIUS requer ação agora

Erin Verna Miniatura
Erin Verna
Publicado em 31 de julho de 2024

Uma falha no protocolo comum de rede cliente-servidor, RADIUS, recebeu muita cobertura da imprensa e de especialistas em segurança cibernética recentemente. Descoberta por pesquisadores de universidades e colegas da indústria de tecnologia, essa falha recebeu uma pontuação de 9 no Common Vulnerability Score System (CVSS), colocando-a no território de vulnerabilidade crítica ( CVE-2024-3596 e VU#456537 ). Dado que o protocolo RADIUS oferece suporte à maioria dos roteadores, switches e pontos de acesso VPN implantados desde o final da década de 1990, ele abre caminho para que invasores ignorem a autenticação do usuário por meio de um ataque do tipo man-in-the-middle (MITM) entre o cliente e o servidor RADIUS. Os invasores podem então obter acesso a qualquer dispositivo, rede ou serviço de internet que dependa do protocolo RADIUS.

Como a vulnerabilidade funciona?

De acordo com o Banco de Dados Nacional de Vulnerabilidades (NVD) do Instituto Nacional de Padrões e Tecnologia (NIST) , o protocolo RADIUS "sob o RFC 2865 é suscetível a ataques de falsificação por um invasor local que pode modificar qualquer resposta válida (Aceitação de acesso, Rejeição de acesso ou Desafio de acesso) para qualquer outra resposta usando um ataque de colisão de prefixo escolhido contra a assinatura do Autenticador de resposta MD5". 

Nesse cenário, os invasores podem aumentar os privilégios para dispositivos e serviços de rede sem recorrer a ataques de força bruta, como preenchimento de credenciais. Um site Blast-RADIUS foi criado por pesquisadores universitários e grandes organizações de tecnologia que descobriram a falha e inclui informações abrangentes sobre a vulnerabilidade e métodos de mitigação, além de algumas perguntas e respostas valiosas.

Para resumir, o modelo de ameaça exige que um invasor tenha obtido acesso à rede e, então, atue como um "intermediário" entre o cliente RADIUS e o servidor RADIUS, resultando na capacidade de ler, interceptar, modificar ou interromper pacotes de entrada e saída. Se proxies estiverem sendo usados, o ataque poderá ocorrer entre qualquer salto.

Quem é impactado?

Qualquer organização com uma implementação RADIUS que não esteja usando um Protocolo de Autenticação Extensível (EAP) sobre o protocolo de datagrama do usuário (UDP) é vulnerável e deve atualizar seus servidores RADIUS imediatamente. EAP é a estrutura de autenticação frequentemente usada em conexões de rede (veja o resumo do RFC 3748 - Extensible Authentication Protocol do IETF Datatracker). De acordo com os pesquisadores, o Blast-RADIUS não parece afetar os servidores RADIUS que fazem apenas autenticação EAP (embora ainda seja aconselhável atualizar tudo).

O que você deve fazer?

Aqui estão as etapas que você pode seguir agora e daqui para frente para proteger sua rede:

  1. Conforme observado no site Blast-RADIUS , antes de mais nada você deve atualizar os servidores RADIUS imediatamente e, em seguida, os clientes, sempre que possível. Certifique-se de habilitar assinaturas criptográficas para os pacotes RADIUS por meio do atributo “message-authenticator” para cada solicitação e resposta (ou seja, Access-Accept, Access-Reject ou Access-Challenge).
  2. A longo prazo, ter o RADIUS dentro de um canal criptografado e autenticado é a recomendação atual de especialistas em segurança cibernética.
  3. Considerando que muitos invasores contam com malware oculto no tráfego criptografado para violar uma rede, também é fundamental ter informações sobre o tráfego SSL/TLS em geral . Se você conhece o F5 BIG-IP SSL Orchestrator , esta solução é fundamental para erradicar o tráfego malicioso escondido atrás da criptografia para evitar que invasores invadam ou se movam lateralmente pelo seu ambiente.

Precisa de uma pequena atualização sobre RADIUS?

O protocolo de rede RADIUS é um padrão reconhecido pelo setor para controlar o acesso a redes por meio de autenticação, autorização e contabilidade (AAA). Os protocolos RADIUS oferecem suporte a quase todos os switches, roteadores, pontos de controle de acesso ou hubs VPN implantados desde seu desenvolvimento na década de 1990.

É justo dizer que o RADIUS não foi projetado com as táticas de ameaças à segurança cibernética de hoje em mente, dadas as mudanças exponenciais no cenário de ameaças desde sua estreia. Mas sabemos que vulnerabilidades são inevitáveis. A melhor resposta é rápida: Sempre aplique patches e atualizações assim que possível. Adotar uma abordagem de segurança em camadas também é fundamental para minimizar o impacto caso um invasor tenha sucesso. Seja o Blast-RADIUS ou a próxima vulnerabilidade que chegará às manchetes, ter proteções em cada ponto-chave da sua rede é fundamental para interromper o movimento lateral de um invasor, conter seus esforços e minimizar qualquer dano.