网络安全研究人员在 RADIUS 网络身份验证协议中发现了一个名为 BlastRADIUS 的安全漏洞,攻击者可能会利用该漏洞在某些情况下进行中间 Mallory-in-the-middle (MitM) 攻击并绕过完整性检查。
“RADIUS协议允许某些访问请求消息没有完整性或身份验证检查,”InkBridge Networks首席执行官Alan DeKok是FreeRADIUS项目的创建者,他在一份声明中说。
“因此,攻击者可以在不被发现的情况下修改这些数据包。攻击者将能够强制任何用户进行身份验证,并向该用户授予任何授权(VLAN等)。
RADIUS 是远程身份验证拨入用户服务的缩写,是一种客户端/服务器协议,可为连接和使用网络服务的用户提供集中式身份验证、授权和记帐 (AAA) 管理。
RADIUS 的安全性依赖于使用 MD5 算法派生的哈希值,由于存在碰撞攻击的风险,该算法在 2008 年 12 月被视为加密破坏。
这意味着访问请求数据包可能会受到所谓的选定前缀攻击,从而可以修改响应数据包,使其通过原始响应的所有完整性检查。
但是,要使攻击成功,攻击者必须能够修改在 RADIUS 客户端和服务器之间传输的 RADIUS 数据包。这也意味着通过 Internet 发送数据包的组织存在该缺陷的风险。
阻止攻击生效的其他缓解因素源于使用 TLS 通过 Internet 传输 RADIUS 流量,以及通过 Message-Authenticator 属性提高数据包安全性。
BlastRADIUS是一个基本设计缺陷的结果,据说会影响所有符合标准的RADIUS客户端和服务器,因此使用该协议的互联网服务提供商(ISP)和组织必须更新到最新版本。
“具体来说,PAP、CHAP和MS-CHAPv2身份验证方法是最脆弱的,”DeKok说。“ISP将不得不升级他们的RADIUS服务器和网络设备。
“任何使用MAC地址身份验证或RADIUS进行管理员登录交换机的人都容易受到攻击。使用 TLS 或 IPSec 可以防止攻击,并且 802.1X (EAP) 不容易受到攻击。
对于企业,攻击者已经需要访问管理虚拟局域网 (VLAN)。此外,如果 ISP 通过中间网络(例如第三方外包商)或更广泛的互联网发送 RADIUS 流量,则它们可能会受到攻击。
值得注意的是,该漏洞的CVSS评分为9.0,特别影响通过互联网发送RADIUS / UDP流量的网络,因为“大多数RADIUS流量都是'明文'发送的。没有证据表明它在野外被利用。
“这次攻击是RADIUS协议的安全性长期被忽视的结果,”DeKok说。
“虽然这些标准长期以来一直建议采取保护措施来防止攻击,但这些保护措施并不是强制性的。此外,许多供应商甚至没有实施建议的保护措施。
感谢您花时间阅读我们提供的这篇文章。我们非常重视您的时间和精力,并深知信息对您的重要性。 我们希望了解您对这篇文章的看法和感受。我们真诚地想知道您是否认为这篇文章为您带来了有价值的资讯和启示,是否有助于您的个人或职业发展。 如果您认为这篇文章对您非常有价值,并且希望获得更多的相关资讯和服务,我们愿意为您提供进一步的定制化服务。请通过填写我们提供的在线表单,与我们联系并提供您的邮箱地址或其他联系方式。我们将定期向您发送相关资讯和更新,以帮助您更好地了解我们的服务和文章内容。 |
END
原文始发于微信公众号(信息安全大事件):RADIUS 协议漏洞使网络暴露于 MitM 攻击
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论