Investigadores de ciberseguridad descubrieron una vulnerabilidad de seguridad en el RAYO protocolo de autenticación de red llamado Radio de la explosión que podría ser aprovechado por un atacante para lanzar ataques Mallory-in-the-middle (MitM) y eludir las comprobaciones de integridad en determinadas circunstancias.
«El protocolo RADIUS permite que ciertos mensajes de solicitud de acceso no tengan controles de integridad o autenticación», dijo Alan DeKok, director ejecutivo de InkBridge Networks, creador del protocolo. Proyecto FreeRADIUSdijo en un comunicado.
“Por tanto, un atacante puede modificar estos paquetes sin ser detectado. El atacante podría obligar a cualquier usuario a autenticarse y otorgarle cualquier permiso (VLAN, etc.). »
RADIUS, abreviatura de Servicio de usuario de acceso telefónico de autenticación remota, es un protocolo cliente/servidor que proporciona administración centralizada de autenticación, autorización y contabilidad (AAA) para los usuarios que se conectan y utilizan un servicio de red.
La seguridad RADIUS es dependiente del hash que se deriva utilizando el algoritmo MD5que se consideró criptográficamente roto en diciembre de 2008 debido al riesgo de ataques de colisión.
Esto significa que los paquetes de solicitud de acceso pueden estar sujetos a lo que se llama un ataque de prefijo elegido que permite modificar el paquete de respuesta para que pase todas las comprobaciones de integridad de la respuesta original.
Sin embargo, para que el ataque tenga éxito, el adversario debe poder modificar los paquetes RADIUS en tránsito entre el cliente y el servidor RADIUS. Esto también significa que las organizaciones que envían paquetes a través de Internet están expuestas a esta vulnerabilidad.
Otros factores mitigantes que impiden que el ataque sea poderoso provienen del uso de TLS para transmitir tráfico RADIUS a través de Internet y una mayor seguridad de los paquetes a través de Internet. Atributo de autenticación de mensajes.
BlastRADIUS es el resultado de una falla de diseño fundamental y está destinado a afectar a todos los clientes y servidores RADIUS que cumplen con los estándares, lo que hace imperativo que los proveedores de servicios de Internet (ISP) y las organizaciones que utilizan el protocolo actualicen a la última versión.
«Los métodos de autenticación PAP, CHAP y MS-CHAPv2 son los más vulnerables», dijo DeKok. “Los ISP necesitarán actualizar sus servidores RADIUS y equipos de red. »
“Cualquiera que utilice una dirección MAC o autenticación RADIUS para iniciar sesión como administrador en los conmutadores es vulnerable. El uso de TLS o IPSec previene el ataque y 802.1X (EAP) no es vulnerable. »
Para las empresas, el atacante ya debe tener acceso a la red local virtual (VLAN) de administración. Además, los ISP pueden ser vulnerables si envían tráfico RADIUS a través de redes intermediarias, como contratistas externos, o a través de Internet en general.
Cabe señalar que la vulnerabilidad, que tiene una puntuación CVSS de 9,0, afecta particularmente a las redes que envían tráfico RADIUS/UDP a través de Internet, ya que «la mayor parte del tráfico RADIUS se envía ‘sin cifrar’. No hay evidencia de que sea explotado en la naturaleza.
«Este ataque es el resultado de que se descuidó la seguridad del protocolo RADIUS durante mucho tiempo», dijo DeKok.
“Aunque las normas han sugerido durante mucho tiempo protecciones que podrían haber evitado el ataque, estas protecciones no se hicieron obligatorias. Además, muchos proveedores ni siquiera han implementado las protecciones sugeridas. »