RADIUS 协议存在严重缺陷导致网络易遭受攻击

RADIUS 协议中发现了一个新发现的漏洞，称为“BlastRADIUS”，对网络安全构成了严重威胁。加州大学圣地亚哥分校的研究人员发布了针对此漏洞的实用漏洞利用程序，这是首次成功演示针对 RADIUS 协议的攻击。FreeRADIUS 服务器项目已迅速做出响应，提供指导和更新以减轻这一重大威胁。

虽然针对 MD5 加密算法的攻击早已为人所知，但这是首次实际演示针对 RADIUS 协议的此类攻击。这一发现是由Nadia Heninger领导的研究小组发现的，它强调了依赖 RADIUS 进行网络身份验证的组织面临的重大安全问题。

“此次攻击是由于 RADIUS 协议的一个基本设计缺陷造成的。这不是任何特定实现或产品的缺陷。所有符合标准的 RADIUS 客户端和服务器都可能容易受到此攻击，即使它们正确实现了 RADIUS 协议的所有方面， ”安全公告中写道。

该漏洞属于中间人 (MITM) 攻击，要求攻击者拦截并修改访问请求数据包。尽管该漏洞的成功取决于攻击者观察和修改这些数据包的能力，但它强调了受影响网络内加强安全措施的必要性。

FreeRADIUS 服务器项目与 Nadia Heninger 的团队密切合作，以描述和解决此漏洞。他们的发现和建议的缓解措施详见 At Network RADIUS 公司网站上的一份工程白皮书。白皮书概述了保护 RADIUS 实施和网络基础设施所需的工程工作，强调了遵守这些建议以防止潜在利用的重要性。

虽然 BlastRADIUS 漏洞需要中间人 (MITM) 介入，这意味着如果该漏洞被利用，网络可能已经受到威胁，但立即采取行动仍然至关重要。

FreeRADIUS 用户可以通过实施特定的配置更改来保护他们的系统。值得注意的是，必须在所有客户端定义中设置require_message_authenticator = yes 标志。此标志自版本 3 以来一直可用并有记录，但默认情况下未启用。启用此标志可确保使用 FreeRADIUS 的系统不易受到 BlastRADIUS 攻击。

此外，FreeRADIUS 团队在radiusd.conf 文件中引入了两个新的配置选项，以减轻攻击同时保持网络功能：

security {    ...    require_message_authenticator = yes    limit_proxy_state = yes}

这些选项可以全局应用或应用于单个客户端定义，从而提供灵活全面的防御漏洞保护。

对于 NAS 客户端（非代理设备），更新客户端定义以包含limit_proxy_state = yes至关重要。对于代理客户端（其他 RADIUS 服务器），确保require_message_authenticator 属性存在于所有 Access-Request 数据包中至关重要。此措施与升级其他 RADIUS 服务器相结合，对于防止攻击至关重要。

原文始发于微信公众号（独眼情报）：RADIUS 协议存在严重缺陷导致网络易遭受攻击