Een kwetsbaarheid in het RADIUS-protocol geeft hackers de mogelijkheid binnen te dringen in bedrijfskritische netwerkinfrastructuur. Het probleem werd veroorzaakt door het gebruik van verouderde versleutelingstechnieken in het protocol.
Het RADIUS-protocol doet al dienst sinds 1991. Sindsdien zijn protocollen en beveiligingstechnieken meermaals geëvolueerd. Dat gebeurt bijvoorbeeld om de zaken veiliger te maken. Binnen RADIUS blijkt de versleutelingstechniek niet mee te zijn ontwikkeld met de nieuwste technieken en dat heeft nu gevolg gekregen in een kwetsbaarheid.
Hackers kunnen met ‘BlastRADIUS’ (CVE-2024-3596), zoals de kwetsbaarheid bekendstaat, een man-in-the-middle-aanval opstellen. De aanval creëert de mogelijkheid een goedkeuringssignaal te sturen nadat een geweigerd authenticatie-verzoek werd uitgestuurd. Deze ombuiging is mogelijk door een combinatie van zwakheden in het protocol die kunnen worden uitgebuit in een MD5 collision-aanval. Vervolgens is de toegang open naar netwerktoestellen en -diensten, inloggen is niet nodig.
Gebruik in bedrijfsnetwerken
RADIUS is door de jaren heen een standaard geworden in het gebruik van bedrijfsnetwerken. Zaken zoals authenticatie voor de toegang tot switches, routers, VPN’s en ISP-diensten worden door het protocol afgehandeld. Net als wifi-verzoeken over de standaard IEEE 802.1X en netwerkauthenticatie voor verbindingen over 2G, 3G en 5G. Het protocol zit dus ingebakken in allerlei zaken, wat het gevaar van de kwetsbaarheid verder vergroot.
Getroffen implementaties van het protocol zijn deze waarbij authenticatie-methodes over UDP worden gebruikt, behalve deze over EAP. De onderzoekers die BlastRADIUS op het spoor kwamen, raden bedrijven met een kwetsbare implementatie aan om een patch op te vragen bij vendoren. Verder kunnen zij afdwingen dat alle RADIUS-verzoeken en -antwoorden gebruik maken van Message-Authenticator-attributen voor een verhoogde veiligheid.
Oorsprong protocol
Oorspronkelijk waren de use-cases voor het protocol vele malen beperkter. Het Remote Authentication Dial-In User Service, de volledige benaming van RADIUS, werd ontworpen om universiteiten uit Michigan digitaal aan elkaar te kunnen knopen. Later, in 1997, kreeg het protocol een grotere taak toegeschreven als standaard van de Internet Engineering Task Force (IETF). Door die benoeming werd het een netwerkprotocol dat toegang verleent, gebruikers die verbinding willen maken met een remote-netwerk authenticeert en registreert.
Lees ook: ‘Meeste cyberaanvallen verbergen zich in versleuteld webverkeer’