RADIUS protokolündeki BlastRADIUS adlı yeni bir kritik güvenlik açığı, çoğu ağ ekipmanını Man-in-the-Middle (MitM) saldırılarına açık bırakıyor. Bu açığın istismar edilmesi zor olsa da, bir istismarın olası etkisi önemlidir.
Ne tehlikede?
İşletmeleri BlastRADIUS’tan korumak için “dünya çapındaki her ağ anahtarı, yönlendirici, güvenlik duvarı, VPN konsantratörü, erişim noktası ve DSL ağ geçidinin bu paketler için bütünlük ve kimlik doğrulama kontrolleri eklemek üzere güncellenmesi gerekiyor” diye açıklıyor InkBridge Networks CEO’su ve RADIUS sunucuları konusunda önde gelen uzmanlardan biri olan Alan DeKok. Ağ yöneticilerinin güncellemeyi indirmeleri ve yapılandırma ayarlarını değiştirmeleri gerekecektir.
Bu sorun, RADIUS kullanan işletmeler, üniversiteler, bulut sağlayıcıları ve İnternet sağlayıcıları için ağ erişimini güvence altına almak için ele alınmalıdır. Bu güvenlik açığı, ek erişim elde etmek için yararlanılabilecek bir MitM saldırısıdır. İstismar edilirse, yetkisiz kullanıcılar ağa erişebilir, kullanıcıları yanlış bir şekilde doğrulayabilir ve yetkilendirmeler verebilir.
DeKok, BlastRADIUS’un bir saldırganın belirli RADIUS paketlerini istismar etmesine izin verdiğini söylüyor. “RADIUS protokolü belirli Erişim-İstek mesajlarının bütünlük veya kimlik doğrulama kontrolleri olmamasına izin veriyor. Sonuç olarak, bir saldırgan bu paketleri tespit edilmeden değiştirebilir. Saldırgan herhangi bir kullanıcıyı kimlik doğrulaması yapmaya zorlayabilir ve o kullanıcıya herhangi bir yetki (VLAN, vb.) verebilir.”
“RADIUS protokolü, dünya çapındaki çoğu ağ erişim sisteminin temel bir unsurudur. 9 Temmuz itibarıyla, bu sistemlerin neredeyse hiçbiri artık güvenli değil. BlastRADIUS sorununun keşfi, ağ teknisyenlerinin ağ güvenliği, kimlik ve kimlik doğrulamasıyla ilgili her cihaza aygıt yazılımı yükseltmeleri yüklemesi gerektiği anlamına geliyor. İnternet servis sağlayıcılarının, işletmelerin ve çoğu bulut kimlik sağlayıcısının bu sorundan etkilenme olasılığının yüksek olduğuna inanıyoruz,” dedi DeKok.
Kimler risk altında?
DeKok, “Özellikle PAP, CHAP ve MS-CHAPv2 kimlik doğrulama yöntemleri en savunmasız olanlardır,” diye açıklıyor. “İSS’lerin RADIUS sunucularını ve ağ ekipmanlarını yükseltmeleri gerekecek. MAC adresi kimlik doğrulaması veya anahtarlara yönetici oturum açma işlemleri için RADIUS kullanan herkes savunmasızdır. TLS veya IPSec kullanmak saldırıyı önler ve 802.1X (EAP) savunmasız değildir.”
Çoğu kuruluş için saldırganın yönetim VLAN’ına zaten erişmesi gerekir. İSS’ler, üçüncü taraf dış kaynak sağlayıcıları veya daha geniş İnternet gibi ara ağlar üzerinden RADIUS trafiği gönderirlerse savunmasız olabilirler. RADIUS’un bazı kullanımları güvenlidir, bunlara eduroam ve Wireless Broadband Alliance’ın OpenRoaming çerçevesi dahildir.
BlastRADIUS’a karşı savunmasız olanlar nelerdir?
- pap
- ÇATLAK
- MS-CHAPv2
- Diğer EAP dışı kimlik doğrulama yöntemleri
Güvenlik açığı olmadığı düşünülen sistemler
- 802.1x
- IPSec
- TLS
- Eduroam
- AçıkDolaşım
DeKok ve ekibi ayrıca açık kaynaklı FreeRADIUS projesini sürdürüyor ve IETF standartlarının geliştirilmesine katılıyor. Satıcıların bu saldırıdan korunmak için ekipmanlarını nasıl güncellemeleri gerektiğini tanımlayan ilk makaleyi yazdı. Ayrıca bu önerileri içerecek olan RADIUS standartlarını da yazıyor. Güncellenen standartlar, diğer RADIUS güvenlik sorunlarının yanı sıra bu yeni güvenlik açığını da ele alacak.
BlastRADIUS güvenlik açığından kendinizi nasıl koruyabilirsiniz?
Ağ ekipmanı için, ağ ekipmanı satıcınızdan edinilebilen herhangi bir aygıt yazılımı güncellemesini yükleyin. Ayrıca, güncellenen aygıt yazılımını yapılandırmak için satıcı belgelerini izleyin, aksi takdirde hala savunmasız olabilirsiniz.
BlastRADIUS açığına yönelik FreeRADIUS güncellemeleri buradan indirilebilir.