Blast-RADIUS: omisión de autenticación en protocolo RADIUS
Blast-RADIUS es una vulnerabilidad de protocolo que afecta a todas las implementaciones de RADIUS que utilicen métodos de autenticación no EAP sobre UDP.
CERT/CC ha publicado un aviso recogiendo información sobre esta vulnerabilidad, así como un listado con los fabricantes afectados, que puede consultarse en las referencias.
El ataque Blast-RADIUS, descubierto por varios investigadores, podría permitir a un atacante infiltrado entre el cliente y el servidor RADIUS (man-in-the-middle) falsificar un mensaje de aceptación de protocolo válido en respuesta a una solicitud de autenticación fallida. Esta falsificación podría otorgar al atacante acceso a los dispositivos y servicios de red sin que sea necesario emplear ataques de adivinación o de fuerza bruta sobre las contraseñas, ya que el atacante no conoce las credenciales de la víctima.
- Actualizar RADIUS para emplear RADIUS sobre TLS (RADSEC), empleando así un canal de comunicación cifrado y autenticado.
- Clientes y servidores deben enviar y solicitar los atributos Message-Authenticator para todas las peticiones y las respuestas. Para las respuestas Access-Accept o Access-Reject, debe incluirse Message-Authenticator como primer atributo.
- Evitar el envío de tráfico RADIUS/UDP o RADIUS/TCP sin restricciones a través de Internet pública. En redes internas una buena práctica es aislar el tráfico RADIUS en una VLAN con gestión de acceso restringido o tunelizarlo a través de TLS o IPsec.
El ataque Blast-RADIUS combina una nueva vulnerabilidad en el protocolo RADIUS con un ataque por colisión de prefijos elegidos MD5. El atacante inyecta un atributo malicioso en una solicitud que provoca una colisión entre la información de autenticación de la respuesta válida del servidor y la falsificación deseada por el atacante. Esto permite al atacante convertir un rechazo en una aceptación y añadir atributos de protocolo arbitrarios.
Un atacante que explote este ataque podría escalar privilegios desde un acceso parcial a la red hasta poder iniciar sesión en cualquier dispositivo que utilice RADIUS para la autenticación o asignarse a sí mismo privilegios de red arbitrarios.
Se ha asignado el identificador CVE-2024-3596 para esta vulnerabilidad.
