Siber güvenlik araştırmacıları, RADIUS ağ kimlik doğrulama protokolünde bir güvenlik açığı keşfettiler. Patlama yarıçapı bir saldırganın Mallory-in-the-middle (MitM) saldırıları düzenlemek ve belirli koşullar altında bütünlük kontrollerini atlatmak için kullanabileceği bir özellik.
FreeRADIUS Projesi’nin yaratıcısı olan InkBridge Networks CEO’su Alan DeKok, yaptığı açıklamada, “RADIUS protokolü, belirli Erişim-İstek mesajlarının bütünlük veya kimlik doğrulama kontrollerinden geçmemesine olanak tanıyor” dedi.
“Sonuç olarak, bir saldırgan bu paketleri tespit edilmeden değiştirebilir. Saldırgan herhangi bir kullanıcıyı kimlik doğrulaması yapmaya ve o kullanıcıya herhangi bir yetkilendirme (VLAN, vb.) vermeye zorlayabilir.”
Uzaktan Kimlik Doğrulama Arama Kullanıcı Hizmeti’nin kısaltması olan RADIUS, bir ağ hizmetine bağlanan ve bu hizmeti kullanan kullanıcılar için merkezi kimlik doğrulama, yetkilendirme ve hesaplama (AAA) yönetimi sağlayan bir istemci/sunucu protokolüdür.
RADIUS’un güvenliği, Aralık 2008’den itibaren çarpışma saldırıları riski nedeniyle kriptografik olarak kırılmış olduğu kabul edilen MD5 algoritması kullanılarak türetilen bir karmaya dayanmaktadır.
Bu, Erişim-İstek paketlerinin, yanıt paketinin orijinal yanıt için tüm bütünlük kontrollerinden geçmesini mümkün kılan seçilmiş önek saldırısı adı verilen bir saldırıya tabi tutulabileceği anlamına gelir.
Ancak saldırının başarılı olması için saldırganın RADIUS istemcisi ve sunucusu arasındaki geçişte RADIUS paketlerini değiştirebilmesi gerekir. Bu ayrıca internet üzerinden paket gönderen kuruluşların da bu kusura maruz kalma riski altında olduğu anlamına gelir.
Saldırının etkili olmasını engelleyen diğer hafifletici faktörler, RADIUS trafiğinin internet üzerinden iletilmesinde TLS kullanılması ve Message-Authenticator niteliği aracılığıyla paket güvenliğinin artırılmasıdır.
BlastRADIUS, temel bir tasarım hatasının sonucudur ve tüm standartlara uygun RADIUS istemcilerini ve sunucularını etkilediği, bu nedenle protokolü kullanan internet servis sağlayıcılarının (İSS) ve kuruluşların en son sürüme güncelleme yapmasını zorunlu hale getirdiği söylenmektedir.
“Özellikle PAP, CHAP ve MS-CHAPv2 kimlik doğrulama yöntemleri en savunmasız olanlardır,” dedi DeKok. “İSS’lerin RADIUS sunucularını ve ağ ekipmanlarını yükseltmeleri gerekecek.”
“MAC adresi kimlik doğrulaması veya anahtarlara yönetici oturum açma işlemleri için RADIUS kullanan herkes savunmasızdır. TLS veya IPSec kullanmak saldırıyı önler ve 802.1X (EAP) savunmasız değildir.”
İşletmeler için saldırganın yönetim sanal yerel alan ağına (VLAN) zaten erişimi olması gerekir. Dahası, İSS’ler üçüncü taraf dış kaynak sağlayıcıları veya daha geniş internet gibi ara ağlar üzerinden RADIUS trafiği gönderirlerse savunmasız olabilirler.
CVSS puanı 9.0 olan bu güvenlik açığının, “RADIUS trafiğinin çoğunun ‘açık’ olarak gönderildiği” göz önüne alındığında, özellikle internet üzerinden RADIUS/UDP trafiği gönderen ağları etkilediğini belirtmekte fayda var. Bunun açık alanda kullanıldığına dair bir kanıt yok.
DeKok, “Bu saldırı, RADIUS protokolünün güvenliğinin çok uzun süredir ihmal edilmesinin sonucudur” dedi.
“Standartlar uzun zamandır saldırıyı önleyecek korumalar önermiş olsa da, bu korumalar zorunlu hale getirilmedi. Ayrıca, birçok satıcı önerilen korumaları bile uygulamadı.”