【漏洞通告】RADIUS协议欺骗漏洞（CVE-2024-3596）

RADIUS协议是一种用于在网络接入服务器（NAS）和认证、授权、计费（AAA）服务器之间传输用户认证、授权和计费信息的协议。它通过客户端和服务器之间的通信来验证用户的身份，并决定用户是否有权访问网络资源。

2024年7月10日，启明星辰集团VSRC监测到RFC 2865下的RADIUS协议/UDP被披露存在伪造攻击/欺骗漏洞（CVE-2024-3596，被称为Blast-RADIUS），目前该漏洞的技术细节已公开。

RADIUS 服务器的RADIUS响应验证中存在漏洞，该漏洞源于验证RADIUS服务器的身份验证响应时使用了加密上不安全的完整性检查方法，中间人攻击者可以访问传输 RADIUS 协议的网络，在不需要或不强制使用Message-Authenticator 属性的情况下伪造基于UDP的RADIUS响应数据包，将任何有效响应（访问接受、访问拒绝或访问质询）修改为任何其他响应。

二、影响范围

RFC 2865下所有使用UDP上的非EAP身份验证方法的RADIUS实现

注：仅执行 RFC 3579 中指定的可扩展身份验证协议 (EAP) 的 RADIUS 服务器不受该漏洞影响，EAP 身份验证消息需要 Message-Authenticator 属性，可阻止攻击。使用 TLS（或 DTLS）加密也可以阻止此类攻击。

三、安全措施

3.1 升级版本

捆绑开源 RADIUS 实现（如FreeRadius）的制造商应将客户端和服务器的软件更新到最新可用软件，并且至少要求使用 Message-Authenticator 进行 RADIUS 身份验证。目前FreeRADIUS已提供了3.0.27 和 3.2.5版本的预构建软件包，下载链接：

https://www.networkradius.com/packages/

依赖基于 RADIUS 的协议进行设备或用户身份验证的网络运营商应将其软件和配置更新为客户端和服务器的安全协议形式。这可以通过强制实施 TLS 或 DTLS 加密来保护RADIUS 客户端和服务器之间的通信来实现。在可能的情况下，应为 RADIUS 协议强制实施网络隔离和安全 VPN 隧道通信，以限制不受信任的来源对这些网络资源的访问。

微软已在7月补丁中提供了受影响 Windows 版本的安全更新修复了该漏洞，可参考：

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-3596

3.2 临时措施

如果系统使用 PAP、CHAP 或 MS-CHAP over RADIUS/UDP，则需要升级 FreeRADIUS，然后使用新的配置标志重新配置它，可参考:

https://www.freeradius.org/security/

3.3 通用建议

定期更新系统补丁，减少系统漏洞，提升服务器的安全性。

加强系统和网络的访问控制，修改防火墙策略，关闭非必要的应用端口或服务，减少将危险服务（如SSH、RDP等）暴露到公网，减少攻击面。

使用企业级安全产品，提升企业的网络安全性能。

加强系统用户和权限管理，启用多因素认证机制和最小权限原则，用户和软件权限应保持在最低限度。

启用强密码策略并设置为定期修改。

3.4 参考链接

https://www.blastradius.fail/

https://www.blastradius.fail/pdf/radius.pdf

https://kb.cert.org/vuls/id/456537

https://www.freeradius.org/security/

https://datatracker.ietf.org/doc/draft-ietf-radext-deprecating-radius/

原文始发于微信公众号（启明星辰安全简讯）：【漏洞通告】RADIUS协议欺骗漏洞（CVE-2024-3596）