È stata scoperta una vulnerabilità critica nel protocollo di autenticazione di rete RADIUS, chiamata BlastRADIUS (CVE-2024-3596), che potrebbe consentire agli aggressori di lanciare attacchi man-in-the-middle (MitM) e bypassare i controlli di integrità in determinate circostanze.
Come funziona l’attacco BlastRADIUS
Il protocollo RADIUS consente a determinati messaggi di richiesta di accesso (Access-Request) di non avere controlli di integrità o di autenticazione. Questo significa che un aggressore potrebbe potenzialmente modificare questi pacchetti senza essere scoperto e di conseguenza forzare l’autenticazione di qualsiasi utente e assegnare qualsiasi autorizzazione (VLAN, ecc.) a tale utente.
RADIUS utilizza un hash basato sull’algoritmo MD5, considerato crittograficamente debole dal dicembre 2008 a causa del rischio di attacchi a collisione. Ciò significa che i pacchetti di richiesta di accesso possono essere soggetti a un attacco a prefisso scelto, che consente all’aggressore di modificare il pacchetto di risposta in modo che superi tutti i controlli di integrità per la risposta originale.
Tuttavia, affinché l’attacco abbia successo, l’avversario deve essere in grado di modificare i pacchetti RADIUS durante il trasferimento tra client e server. Ciò significa che le organizzazioni che inviano pacchetti su Internet sono maggiormente a rischio.
Come mitigazione si consiglia
- L’utilizzo di TLS per trasmettere il traffico RADIUS su Internet.
- L’aumento della sicurezza dei pacchetti tramite l’attributo Message-Authenticator.
Chi è maggiormente a rischio?
BlastRADIUS è il risultato di un difetto di progettazione fondamentale e si dice che colpisca tutti i client e server RADIUS conformi agli standard, rendendo imperative per gli ISP e le organizzazioni che utilizzano il protocollo l’aggiornamento all’ultima versione.
In particolare, i metodi di autenticazione PAP, CHAP e MS-CHAPv2 sono i più vulnerabili. Gli ISP dovranno aggiornare i loro server RADIUS e le apparecchiature di rete.
Inoltre, le reti che inviano traffico RADIUS/UDP su Internet sono particolarmente a rischio poiché la maggior parte del traffico RADIUS viene inviata “in chiaro”.
Consigli per la sicurezza
- Non utilizzare RADIUS per gli accessi amministrativi agli switch.
- Utilizzare l’autenticazione 802.1X (EAP).
Aggiornamento
Secondo CERT/CC la vulnerabilità consente a un malintenzionato con accesso alla rete su cui viene trasportato RADIUS Access-Request di condurre attacchi di falsificazione.
L’azienda di sicurezza informatica Cloudflare ha pubblicato ulteriori dettagli tecnici su CVE-2024-3596, affermando che RADIUS/UDP è vulnerabile a un attacco a collisione MD5 migliorato. L’attacco consente a un aggressore di ottenere l’accesso amministrativo non autorizzato ai dispositivi che utilizzano RADIUS per l’autenticazione.