"BlastRADIUS"攻击揭露了已存在30的RADIUS协议中的致命缺陷

黑客部落 2024-07-10 11:09:21

安全供应商InkBridge Networks紧急提醒注意在流行的RADIUS协议中发现了一个存在数十年的设计缺陷(CVE-2024-3596)。

安全供应商InkBridge Networks在周二紧急提醒注意在RADIUS协议中发现了一个三十年的设计缺陷,并警告称,高级攻击者可以利用此漏洞让任何人通过认证接入局域网,绕过任何形式的多因素认证(MFA)保护。

该公司发布了一份技术描述,详细解释了所谓的“BlastRADIUS”攻击,并警告称,包括企业内网、互联网服务提供商(ISPs)、电信公司(telcos)在内的企业网络面临着重大风险。

该漏洞由波士顿大学、Cloudflare、BastionZero、微软研究院、Centrum Wiskunde & Informatica和加州大学圣地亚哥分校的研究人员共同发现。此漏洞被追踪为CVE-2024-3596和VU#456537。研究团队解释道:“攻击的根本原因是,在RADIUS协议中,某些Access-Request数据包未经过认证,也缺乏完整性检查。攻击者可以修改这些数据包,使其能够控制谁能够接入网络。”

RADIUS协议最初在1990年代末标准化,用于通过认证、授权和计费来控制网络接入,至今仍广泛应用于交换机、路由器、接入点和VPN产品中。研究人员认为:“所有这些设备很可能都对此类攻击存在脆弱性。”

“攻击的关键在于,在许多情况下,Access-Request数据包没有认证或完整性检查。攻击者随后可以进行选定前缀攻击,允许修改Access-Request,从而用攻击者选择的响应替换有效的响应。

尽管响应本身是经过认证和完整性检查的,但选定前缀的漏洞允许攻击者几乎随意地修改响应数据包。”根据InkBridge Networks的文档所述。

该公司将这个问题描述为“RADIUS协议的根本设计缺陷”,并指出,所有符合标准的RADIUS客户端和服务器可能都对此类攻击存在脆弱性,即便它们正确实现了RADIUS协议的所有方面。

“由于RADIUS协议对于UDP和TCP传输层的安全性完全基于共享密钥,因此,这种攻击可能是对RADIUS协议最严重的攻击。”公司声明中写道。InkBridge Networks建议,至少全球每一个RADIUS服务器都必须升级以应对此漏洞。“仅仅升级RADIUS客户端是不够的,这样做会让网络仍然处于脆弱状态。

”该公司表示,其研究人员已经创建了一个私有的概念验证攻击,但目前没有迹象表明此漏洞正在野外被积极利用。即便有人设法重现了攻击,研究人员指出,成功的攻击将十分昂贵。“成功执行攻击需要相当大的云计算能力。

这种成本是按被利用的每个数据包计算的,不能自动应用于多个数据包。如果攻击者想要执行100次攻击,他必须使用100倍的计算能力。”

然而,公司指出,对于寻求特定目标的国家行为体而言,这些成本“微不足道”。

0 阅读:21

黑客部落

简介:计算机安全技术分享,网络安全攻防技术分享