В одном из фундаментальных протоколов интернета несколько десятилетий существует опасная «дыра»

Ученые обнаружили серьезную уязвимость в протоколе Radius, который широко используется для аутентификации пользователей в сетевых устройствах. Эта уязвимость, если ее использовать, может предоставить хакерам контроль над сетевыми устройствами и доступ к конфиденциальной информации пользователей, что может привести к серьезным последствиям, таким как утечка данных, кража личной информации и финансовые потери.

Новая угроза

Исследовательская группа под руководством ИТ-специалистов из Калифорнийского университета в Сан-Диего изучила протокол Remote Authentication Dial-In User Service (Radius) и обнаружила уязвимость, которую они назвали Blast-Radius и которая существует уже несколько десятилетий. Об этом в конце августа 2024 г. говориться в опубликованном отчете на сайте учебного заведения.

Протокол Radius, разработанный в 1991 г., позволяет сетевым устройствам, таким как маршрутизаторы, коммутаторы или мобильное роуминговое оборудование, использовать удаленный сервер для проверки логина или других учетных данных. Это распространенная система в корпоративных и телекоммуникационных сетях, поскольку она позволяет централизованно управлять учетными данными. В результате Radius является важной частью современных телекоммуникационных и корпоративных сетей, а на крупных производствах протокол может контролировать доступ к десяткам тысяч коммутаторов.

Unsplash — Markus Spiske Исследователи кибербезопасности обнаружили уязвимость в протоколе Radius

В исследовательскую группу вошли Надя Хенингер (Nadia Heninger), Миро Халлер (Miro Haller) и Адам Сул (Adam Suhl) из Калифорнийского университета в Сан-Диего. Шэрон Голдберг (Sharon Goldberg) из американской компании Cloudflare. Майк Милано (Mike Milano) из BastionZero и Дэн Шумоу (Dan Shumow) из Microsoft Research, а также Марк Стивенс (Marc Stevens) из Centrum Wiskunde & Informatica.

Со слов профессора факультета компьютерных наук и инженерии Школы инженеров Джейкобса Нади Хенингер, это один из самых крупных и сложных процессов раскрытия уязвимостей, в которых исследователи кибербезопасности принимали участие. Учитывая, насколько широко используется этот протокол, удивительно, что он практически не получил формального анализа безопасности в академических сообществах криптографии и безопасности. Хенингер отмечает большой разрыв между теми, кто развертывает эти протоколы, и теми, кто их изучает.

Читать статью  Adidas закрывает доступ к фирменному приложению. Будут уничтожены все данные о тренировках российских пользователей

Исследователи по информационной безопасности (ИБ) обнаружили возможность кибератаки посредством метода «человека посередине», это ИТ-атака, при которой хакер получает доступ к каналу связи между легитимными сторонами, что позволяет ему просматривать содержимое всех передаваемых ими сообщений, удалять и изменять их. Хакеры могут атаковать связь между клиентом Radius (или сетевым устройством жертвы) и сервером Radius, чтобы подделать действительное сообщение о принятии протокола в ответ на поддельный запрос на вход или аутентификацию. Это может дать хакеру административный доступ к сетевым устройствам и службам, не требуя от него угадывания или «грубой силы» (метод взлома, при котором хакер или тестировщик подбирают данные для входа в ИТ-систему) паролей.

radius_overview.pngToday.ucsd.edu Поток атаки Blast-Radius

По словам авторов, корень этой уязвимости кроется в том, что Radius был разработан до того, как был понят правильный дизайн криптографических протоколов. В нем используется проверка подлинности, основанная на специальной и небезопасной конструкции на базе хэш-функции MD5, о поломке которой известно уже два десятилетия. Однако протокол Radius не был обновлен, когда MD5 была сломана в 2004 г., отмечают авторы. До их работы разработчики стандартов протокола, определяющего Radius, считали, что конструкция на основе MD5, используемая в Radius, по-прежнему безопасна.

Будущее в стиле киберпанк: ИИ стал базой технологических трендов axenix В одном из фундаментальных протоколов интернета несколько десятилетий существует опасная «дыра»

Поставщики выпустили исправления, реализующие рекомендованное авторами краткосрочное устранение этой уязвимости. Системным администраторам следует проверить наличие исправлений для протоколов, используемых ими совместно с Radius, и применить обновленные параметры конфигурации, предложенные поставщиками.

Исследователи кибербезопасности раскрыли информацию о своих находках (рекомендации по безопасности CVE-2024-3596 и VU#456537), а более 90 поставщиков приняли участие в скоординированном раскрытии информации и выпустили бюллетени безопасности.

Читать статью  Исключительность BMW: Различия, которые выделяют BMW кроссоверы из толпы

Протокол Radius

Radius — это один из сетевых клиент-серверных протоколов, используемый для централизованного управления авторизацией, аутентификацией и учетов при запросе доступа пользователей к различным сетевым службам. Клиент Radius обычно используется на сетевом устройстве для реализации Authentication, Authorization and Accounting (ААА) совместно с протоколом 802.1x. Сервер Radius хранит базу данных (БД) для AAA и связывается с клиентом Radius через протокол Radius, который является наиболее распространенным протоколом в рамках AAA.

Протокол работает поверх UDP, частично защищая передаваемый трафик от изменения путем контроля целостности, но не осуществляя шифрование. По сути, основное использование протокола — это проксирование запросов на подключение с целью централизации и упрощения их обработки. Коммутатор, Wi-Fi точка доступа, или маршрутизатор с поддержкой входящих VPN-подключений – это все называется Radius-клиентом. Сервером же на котором есть возможность подтверждения подлинности запрашиваемых учетных записей и возможность хранения политик и настроек для их подключения называется Radius-сервером, например, контроллер домена Active Directory с установленным NAP.

У американской транснациональной компании Cisco есть свой интегрированный продукт, Cisco ISE, который предлагает полную функциональность Radius-сервера с множеством дополнительных возможностей.

  • Подобрать оптимальный тариф на IaaS с GPU-ускорителями на ИТ-маркетплейсе Market.CNews

Антон Денисенко

В одном из фундаментальных протоколов интернета несколько десятилетий существует опасная «дыра»Поделиться

Подписаться на новости В одном из фундаментальных протоколов интернета несколько десятилетий существует опасная «дыра»Короткая ссылка

Источник