The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Уязвимость в протоколе RADIUS, позволяющая подделать ответ при аутентификации

10.07.2024 11:38

Группа исследователей из нескольких американских университетов и компаний Cloudflare и Microsoft разработала новую технику атаки на протокол RADIUS, применяемый операторами связи, облачными сервисами и VPN-провайдерами для аутентификации, авторизации и аккаунтинга пользователей. Атака, которая получила кодовое имя Blast-RADIUS, даёт возможность подделать ответ RADIUS-сервера при прохождении аутентификации и организовать подключение абонента без знания пароля доступа.

Для эксплуатации уязвимости (CVE-2024-3596) атакующий должен иметь возможность перехвата транзитного трафика и проведения полноценной MITM-атаки, позволяющей читать, перехватывать, блокировать и изменять входящие и исходящие транзитные UDP-пакеты, отправляемые точками доступа для запроса аутентификации клиентов (Access-Request) и возвращаемые RADIUS-сервером с подтверждением или отклонением операции. Перехватив запрос аутентификации атакующий может направить фиктивный ответ, указав в этом ответе иной тип результата (например, Access-Accept вместо Access-Reject). Атакующий также потенциально может перехватить ответ Access-Challenge, используемый при двухфакторной аутентификации, и заменить его на ответ Access-Accept для обхода прохождения дополнительного этапа проверки.

Атака основана на том, что протокол RADIUS использует в качестве транспорта UDP и верифицирует целостность передаваемых сообщений при помощи алгоритма MD5. Для верификации сообщений, передаваемых между сервером доступа и RADIUS-сервером, применяется секретный ключ, известный точке доступа и RADIUS-серверу, но неизвестный атакующему. В ответ на запрос аутентификации RADIUS-сервер генерирует MD5-хэш, при помощи которого сервер доступа может удостовериться, что сообщение отправлено авторизированным сервером. MD5-хэш охватывает присланное в запросе случайное значение, идентификатор запроса, возвращаемые атрибуты и секретный ключ.

Атакующий в ходе MITM-атаки может перехватить переданный в запросе идентификатор и случайное значение, а также может предсказать код операции, размер и атрибуты. Задача сводится к формированию корректного проверочного хэша, который бы соответствовал изменённому результату операции и проходил проверку через хэширование с использованием секретного ключа. Алгоритм MD5 подвержен дифференциальной атаке поиска второго прообраза (не является стойким к подбору коллизий), что позволяет атакующему, манипулируя с не имеющим значения добавочным заполнением, подобрать сочетание данных с нужными параметрами, MD5-хэш которого будет совпадать с MD5-хэшем исходного ответа, и отправить фиктивный ответ с кодом успешного прохождения аутентификации (Access-Accept) вместо сообщения с информацией об ошибке.

Так как при обработке пакетов с запросом доступа (Access-Request) не применяется аутентификация и проверка целостности, в ходе атаки в исходный запрос от сервера доступа атакующий может подставить дополнительный атрибут "Proxy-State", который будет отражён RADIUS-сервером в своём ответе. Содержимое "Proxy-State" подбирается с учётом коллизии так, что значение проверочного MD5-хэша в реальном и поддельном ответах будут идентичны. При проведении эксперимента поиск коллизии в MD5 для совершения атаки занял 3-6 минут, что больше чем типовой таймаут в 30-60 секунд, но время поиска коллизии может быть сокращено за счёт использования более мощного оборудования, привлечения GPU и распараллеливания операций.

В качестве основной меры для защиты от уязвимости предлагается задействовать протокол EAP (Extensible Authentication Protocol, RFC 3579), в котором для дополнительной верификации сообщений используется атрибут Message-Authenticator. Для защиты от атаки также можно использовать расширения протокола (RadSec), включающие передачу RADIUS-сообщений через шифрованные каналы на базе TLS или DTLS. Кроме того, можно сократить до минимума значения таймаутов получения ответа и заблокировать ответы с атрибутом Proxy-State. Передача RADIUS-сообщений поверх TCP усложняет атаку, но не исключает её проведение.

Код для проведения атаки пока не опубликован в открытом доступе, но проекту hashclash переданы изменения, улучшающие подбор коллизий в MD5 с учётом специфики атаки. В RADIUS-сервере FreeRADIUS проблема устранена в выпусках 3.0.27 и 3.2.5 через включение обязательного применения атрибута Message-Authenticator и добавление настройки для ограничения обработки пакетов с атрибутом Proxy-State.

  1. Главная ссылка к новости (https://blog.cloudflare.com/ra...)
  2. OpenNews: 11 удалённо эксплуатируемых уязвимостей во FreeRADIUS
  3. OpenNews: Уязвимости в OpenBSD, позволяющие повысить привилегии и обойти аутентификацию в smtpd, ldapd и radiusd
  4. OpenNews: Вышел FreeRADIUS 2.1.11
  5. OpenNews: Новая атака SLOTH, затрагивающая протоколы TLS 1.2, SSH и IKE/IPsec с MD5 и SHA-1
  6. OpenNews: Предложен метод определения коллизий в SHA-1, пригодный для атаки на PGP
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/61517-radius
Ключевые слова: radius
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (32) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Антон 19887234 (?), 12:22, 10/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +26 +/
    Атакующий уже сидит в инфраструктуре, перехватывает службный трафик, и беспокоиться об обходе клиентской авторизации - это последнее, о чем нужно переживать.
     
     
  • 2.5, OpenEcho (?), 12:47, 10/07/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Атакующий уже сидит в инфраструктуре, перехватывает службный трафик

    Так то Cloudflare и Microsoft, за "внутри" - не ручаются, хоть клиентов от утечки "защитить"

     
  • 2.12, Del (?), 14:45, 10/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так то он на все устройства попасть может. Ведь нормальные люди не хранят учетки на устройстве. Вопрос насколько это зависит от длины ключа?
     
  • 2.16, Аноним (16), 16:54, 10/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Точно. Сгорел сарай, гори и хата.
     
  • 2.19, Асян (?), 18:42, 10/07/2024 [^] [^^] [^^^] [ответить]  
  • –3 +/
    У вас прям все-все провода инфраструктуры внутри здания за замками? А в Интернет вы как выходите? А до BRAS'ов провода не идут? А по канализации, где никто особо ничего не увидит - быстренько подвариться к оптике.
     
     
  • 3.23, Аноним (23), 21:45, 10/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Хочу посмотреть на приварку к оптике
     
     
  • 4.26, Аноним (16), 01:32, 11/07/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Если действительно хочешь посмотреть, то на ютубе есть. Но варить не надо, это палевно, нужен недюжий навык, да и хорошее оборудование недёшево стоит. Вместо сварки можно обойтись не деструктивными методами. При изгибе волокна утекает достаточно энергии для приёма неискажённого сигнала. NSA и FBI не дадут соврать. Всё что нужно — снять изоляцию, загнуть на минимальный разрешённый радиус, засунуть в копеечную коробку с ресивером и запустить ваершарк. А если денег есть немного, то коробку можно взять с трансивером и подмешивать свой сигнал прямо в кабель (и спалиться по искажениям угла и мощности, но кто ж эти параметры мониторит?).
     

  • 1.2, OpenEcho (?), 12:28, 10/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > для защиты от уязвимости предлагается задействовать протокол EAP (Extensible Authentication Protocol, RFC 3579), в котором для дополнительной верификации сообщений используется атрибут Message-Authenticator.

    А есть такие, кто до сих пор не изпользуют EAP???

     
     
  • 2.4, Аноним (4), 12:34, 10/07/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Тут регулярно отписываются отечественные специалисты, отключающие своим пользователям стандартные средства повышения защищенности подключения, так что я бы не удивился.
     
  • 2.25, Anonim (??), 00:40, 11/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Какой такой EAP раз в линуксе вирусов нет С дистры - сижу без пароля, вкл у ... большой текст свёрнут, показать
     
     
  • 3.37, Аноним (37), 16:49, 11/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    P S Не я конечно верю на слово что, в линуксе вирусов нет С дистры но, т к п... большой текст свёрнут, показать
     

  • 1.6, Аноним (6), 12:53, 10/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    >Алгоритм MD5 не является стойким к подбору **коллизий**
    >манипулируя с не имеющим значения добавочным заполнением, подобрать сочетание данных с нужными параметрами, MD5-хэш которого будет совпадать с MD5-хэшем исходного ответа

    Причём тут коллизии? Коллизия - это найти (m_1, m_2): H(m_2) == H(m_1) && m_1 != m_2.

    Второй прообраз - это найти m': H(m') == H(m) && m' != m.

    Разницу улавливаете? При коллизии ОБА сообщения выбираются атакующим! Где это в сабже?

     
     
  • 2.17, Аноним (16), 16:55, 10/07/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Там для тех, кто читать и думать не умеет картинка есть, на которой нариовано.
     
  • 2.18, penetrator (?), 17:21, 10/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    нет, это когда ты не зная первое значение, подбираешь второе такое, что результирующий хеш одинаковый

    а коллизия хеш-функции, это когда разные входные значения дают один и тот же хеш-результат

     
     
  • 3.21, Аноним (21), 20:08, 10/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > нет, это когда ты не зная первое значение, подбираешь второе такое, что результирующий хеш одинаковый

    Нет, стойкость к подбору второго прообраза формализуется именно исходя из знания хешируемого сообщения. Потому что хэшируемые данные почти всегда лежат рядом с их хэшем, и если хэш-функция не стойка к подбору второго прообраза в таком случае, то её практические применения ограничены крайне узкой и крайне специфической областью.

    >а коллизия хеш-функции, это когда разные входные значения дают один и тот же хеш-результат

    В криптографическом понимании стойкость к коллизиям - это когда СВОЮ пару сообщений, дающих одинаковый хэш, подобрать маловероятно. Это необходимо для контроля целостности: чтобы нельзя было подсунуть для аутентифкации одно сообщение, получить ЭЦП или MAC (он же имитовставка) для него, и взять другое сообщение, и чтобы для него защита была валидна.  MD5, насколько я помню, не стойка к коллизиям, но стойка к второму прообразу.

     
     
  • 4.32, penetrator (?), 10:38, 11/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    > хэшем, и если хэш-функция не стойка к подбору второго прообраза в
    > таком случае, то её практические применения ограничены крайне узкой и крайне
    > специфической областью.
    >>а коллизия хеш-функции, это когда разные входные значения дают один и тот же хеш-результат
    > В криптографическом понимании стойкость к коллизиям - это когда СВОЮ пару сообщений,
    > дающих одинаковый хэш, подобрать маловероятно. Это необходимо для контроля целостности:
    > чтобы нельзя было подсунуть для аутентифкации одно сообщение, получить ЭЦП или
    > MAC (он же имитовставка) для него, и взять другое сообщение, и
    > чтобы для него защита была валидна.  MD5, насколько я помню,
    > не стойка к коллизиям, но стойка к второму прообразу.

    то что ты здесь нагрузил это свойства крипто-хешей, для какого-то их формального описания

    там вводится понятие стойкости к колизиям и т.д., а не определение коллизии, которое есть в моем предыдущем сообщении

     

  • 1.7, аНОНИМ (?), 12:59, 10/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Потому что придумыватели этого протокола -- долбоклюи. Достаточно было захешировать секретный ключ вперёд всех остальных данных -- и опа, умение искать коллизии становится бесполезным. В качестве примера: HMAC на MD5 до сих пор секурный, умение искать коллизии MD5 его никак не компрометирует.
     
     
  • 2.9, Ivan_83 (ok), 14:03, 10/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Когда протокол придумали туда и MD5 хэш то добавили чисто чтобы левые сервера/ответы отсечь.
    Когда подумали про безопасность добавили EAP, hmac-md5 симметричную подпись.
    И в целом это никогда не было проблемой ибо оно обычно не ходит через инет и находится уже в чистом перемитре.
     
     
  • 3.33, аНОНИМ (-), 11:43, 11/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Когда подумали про безопасность

    Так поэтому и долбоклюи. Потому что сначала сделали протокол, а только потом начали задумываться о безопасности.

     

  • 1.10, Ivan_83 (ok), 14:11, 10/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Атака теоритическая, даже не потому что там нужно иметь полный доступ к трафику между NAS и радиус сервером а потому что NAS или что там проводит аутентификацию должен спрашивать только "да/нет", чего я никогда не видел.
    Те в reject обычно прилетает НЕТ и ПОЧЕМУ текстом.
    В accept прилетает ДА + куча доп аттрибутов типа адреса и прочего.
    Даже в случае авторизации где то на админке сетевого оборудования там прилетает уровень полномочий.
    Где радиус клиент спрашивает только да/нет - я даже не знаю, может есть какие то авторизации в вебе/почте или где то ещё где так делают.
     
  • 1.11, Антон 19887234 (?), 14:16, 10/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Сколько не настраивал разных RADIUS-серверов (от разных биллингов) с разным оборудование (RAS, BRAS, VoIP, CLI), возни с атрибутами и форматами всегда хватало.
    Тут же предлагается в чужой сети сходу начать подделывать ответы. Ну чё, норм. А как быть с аккаунтингом? Клиент пришлет ACCT START, что ему ответит RADIUS? ACCT STOP или CoA пришлет...
     
  • 1.13, Аноним (13), 15:20, 10/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    >Группа исследователей из нескольких американских университетов и компаний Cloudflare и Microsoft

    Ну вот, а вы говорите мировые заговоры это мемные теории, а не реальность.

     
     
  • 2.27, Аноним (27), 02:42, 11/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так господа из Майкрософт давно уже воюют с Borland и в последствии с Embarcadero. Это вполне легальный и публичный (и этичный по меркам пиндостана) способ их унизить, а соответственно является саморекламой - пользуйтесь альтернативной продукцией. А альтернатив не так много, большую часть потенциального рынка они привлекли к себе. Страшно подумать что эти ребятки творят тайно.
     
     
  • 3.31, Аноним (31), 10:08, 11/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > господа из Майкрософт

    научились бы сперва нормальные средства разработки делать, потому что
    > Borland и в последствии с Embarcadero

    это лучшие продукты для программирования для Windows.

     
     
  • 4.38, Аноним (38), 22:23, 11/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    О, да ты отстал от жизни, Embarcadero ещё до Майкрософта давно смогло то что не так давно научился .net (который до сих пор называют core). На том же Делфи уже давно и под Линукс и под Мак и под смартфоны можно выпускать программы. Не говоря уже и про их C++ продукты или БД. Но злопыхателей много - они не осилить Делфи, они его ненавидеть!
    И кстати, попалась под руку книга про Golang, так пишут что это наследник Дельфи и Оберон, но как-то не так ненавидят его. Это ж Гугл, типа богатая контора, потому что известная, потому что у них хорошая реклама о том что их разработчики все деньги мира получают. Ну и наверно поэтому это другое.
     
  • 4.39, Аноним (38), 22:57, 11/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    И ещё я тут глянул, оно и ARM и IoT может. Единственно что у них нет - большого комьюнити. Мне кажется что из-за некоторых необъективных слухов оно и не имеет достаточно клиентов. Остаётся только гадать по какой причине СМИ и неизвестные люди через слухи рекламируют тот же Майкрософт? И достаточно агрессивно
     

  • 1.14, Аноним (14), 16:16, 10/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    > Cloudflare и Microsoft разработала новую технику атаки

    Наконец-то честные новости!

     
     
  • 2.30, Аноним (31), 09:02, 11/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Предположительно, никакого ущерба безопасности нет, а смысл затеи в том в том, чтобы
    > Группа исследователей из нескольких американских университетов и компаний

    получила финансирование.

     
     
  • 3.40, Аноним (40), 04:51, 15/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Но нет. А отодвинуть конкурентов, пропихнуть своё "ничем не лучше", собирая с продаж.
     

  • 1.15, Аноним (15), 16:49, 10/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > атакующий должен иметь возможность перехвата транзитного трафика и проведения полноценной MITM-атаки, позволяющей читать, перехватывать, блокировать и изменять входящие и исходящие транзитные UDP-пакеты

    Какая страшная атака. Чего ж рутового доступа к radius серверу не требуется?

     
     
  • 2.34, Аноним (34), 11:46, 11/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Так надо ещё кластер с ГПУ развернуть, чтобы уложится в радиус таймауты.
    Прям дырень! А ещё забыл надо обязательно всё переписать на раст, чтобы было безопасно.
     
     
  • 3.36, Аноним (34), 13:33, 11/07/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    И да ещё есть такая вещь как Message-Authenticator, так что всё придумали задолго до этой атаки.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру