Pesquisadores de segurança cibernética descobriram uma vulnerabilidade de segurança no protocolo de autenticação de rede RADIUS chamado Raio de explosão que poderia ser explorado por um invasor para realizar ataques Mallory-in-the-middle (MitM) e ignorar verificações de integridade sob certas circunstâncias.
“O protocolo RADIUS permite que certas mensagens de solicitação de acesso não tenham verificações de integridade ou autenticação”, disse o CEO da InkBridge Networks, Alan DeKok, criador do Projeto FreeRADIUS, em um comunicado.
“Como resultado, um invasor pode modificar esses pacotes sem ser detectado. O invasor seria capaz de forçar qualquer usuário a autenticar e dar qualquer autorização (VLAN, and so on.) a esse usuário.”
RADIUS, abreviação de Distant Authentication Dial-In Person Service, é um protocolo cliente/servidor que fornece gerenciamento centralizado de autenticação, autorização e contabilidade (AAA) para usuários que se conectam e usam um serviço de rede.
A segurança do RADIUS depende de um hash derivado usando o algoritmo MD5, que foi considerado criptograficamente quebrado em dezembro de 2008 devido ao risco de ataques de colisão.
Isso significa que os pacotes de solicitação de acesso podem ser submetidos ao que é chamado de ataque de prefixo escolhido, que torna possível modificar o pacote de resposta para que ele passe em todas as verificações de integridade da resposta unique.
No entanto, para que o ataque tenha sucesso, o adversário precisa ser capaz de modificar pacotes RADIUS em trânsito entre o cliente e o servidor RADIUS. Isso também significa que organizações que enviam pacotes pela web correm o risco da falha.
Outros fatores de mitigação que impedem que o ataque seja potente decorrem do uso de TLS para transmitir tráfego RADIUS pela Web e do aumento da segurança dos pacotes por meio do atributo Message-Authenticator.
O BlastRADIUS é o resultado de uma falha basic de design e afeta todos os clientes e servidores RADIUS em conformidade com os padrões, tornando imperativo que os provedores de serviços de Web (ISPs) e as organizações que usam o protocolo atualizem para a versão mais recente.
“Especificamente, os métodos de autenticação PAP, CHAP e MS-CHAPv2 são os mais vulneráveis”, disse DeKok. “Os ISPs terão que atualizar seus servidores RADIUS e equipamentos de rede.”
“Qualquer pessoa que use autenticação de endereço MAC ou RADIUS para logins de administrador em switches é vulnerável. Usar TLS ou IPSec previne o ataque, e 802.1X (EAP) não é vulnerável.”
Para empresas, o invasor já precisaria ter acesso à rede native digital (VLAN) de gerenciamento. Além disso, os ISPs podem ser suscetíveis se enviarem tráfego RADIUS por redes intermediárias, como terceirizados, ou pela web mais ampla.
Vale ressaltar que a vulnerabilidade, que tem uma pontuação CVSS de 9,0, afeta particularmente redes que enviam tráfego RADIUS/UDP pela web, já que “a maior parte do tráfego RADIUS é enviado 'em liberdade'”. Não há evidências de que ela esteja sendo explorada na natureza.
“Este ataque é resultado da negligência da segurança do protocolo RADIUS por muito tempo”, disse DeKok.
“Embora os padrões tenham sugerido proteções que teriam prevenido o ataque, essas proteções não foram tornadas obrigatórias. Além disso, muitos fornecedores nem mesmo implementaram as proteções sugeridas.”
