安全供应商InkBridge Networks紧急提醒注意在流行的RADIUS协议中发现了一个存在数十年的设计缺陷（CVE-2024-3596）。

安全供应商InkBridge Networks在周二紧急提醒注意在RADIUS协议中发现了一个三十年的设计缺陷，并警告称，高级攻击者可以利用此漏洞让任何人通过认证接入局域网，绕过任何形式的多因素认证（MFA）保护。

该公司发布了一份技术描述，详细解释了所谓的“BlastRADIUS”攻击，并警告称，包括企业内网、互联网服务提供商（ISPs）、电信公司（telcos）在内的企业网络面临着重大风险。

该漏洞由波士顿大学、Cloudflare、BastionZero、微软研究院、Centrum Wiskunde & Informatica和加州大学圣地亚哥分校的研究人员共同发现。此漏洞被追踪为CVE-2024-3596和VU#456537。研究团队解释道：“攻击的根本原因是，在RADIUS协议中，某些Access-Request数据包未经过认证，也缺乏完整性检查。攻击者可以修改这些数据包，使其能够控制谁能够接入网络。”

RADIUS协议最初在1990年代末标准化，用于通过认证、授权和计费来控制网络接入，至今仍广泛应用于交换机、路由器、接入点和VPN产品中。研究人员认为：“所有这些设备很可能都对此类攻击存在脆弱性。”

“攻击的关键在于，在许多情况下，Access-Request数据包没有认证或完整性检查。攻击者随后可以进行选定前缀攻击，允许修改Access-Request，从而用攻击者选择的响应替换有效的响应。

尽管响应本身是经过认证和完整性检查的，但选定前缀的漏洞允许攻击者几乎随意地修改响应数据包。”根据InkBridge Networks的文档所述。

该公司将这个问题描述为“RADIUS协议的根本设计缺陷”，并指出，所有符合标准的RADIUS客户端和服务器可能都对此类攻击存在脆弱性，即便它们正确实现了RADIUS协议的所有方面。

“由于RADIUS协议对于UDP和TCP传输层的安全性完全基于共享密钥，因此，这种攻击可能是对RADIUS协议最严重的攻击。”公司声明中写道。InkBridge Networks建议，至少全球每一个RADIUS服务器都必须升级以应对此漏洞。“仅仅升级RADIUS客户端是不够的，这样做会让网络仍然处于脆弱状态。

”该公司表示，其研究人员已经创建了一个私有的概念验证攻击，但目前没有迹象表明此漏洞正在野外被积极利用。即便有人设法重现了攻击，研究人员指出，成功的攻击将十分昂贵。“成功执行攻击需要相当大的云计算能力。

这种成本是按被利用的每个数据包计算的，不能自动应用于多个数据包。如果攻击者想要执行100次攻击，他必须使用100倍的计算能力。”

然而，公司指出，对于寻求特定目标的国家行为体而言，这些成本“微不足道”。