Kritična ranjivost RADIUS protokola
Kritična ranjivost otkrivena u RADIUS (Remote Authentication Dial-In User Service) protokolu, identificirana kao CVE-2024-3596, omogućava "man-in-the-middle" (MitM) napade koji zaobilaze mehanizme autentifikacije. Iskorištavanje navedene ranjivost, nazvana Blast-RADIUS napad, koristi napad MD5 kolizije za krivotvorenje autentifikacijskih odgovora, potencijalno omogućujući neautorizirani pristup mrežnim resursima.
Ranjivost kritične razine ugroze posebno zahvaća brojne Cisco proizvode, iako se točna razina ugroze razlikuje i druge platforme su također zahvaćene navedenom ranjivošću.
Zbog visoke razine ugroze ove ranjivosti, preporučuje se žurna primjenu zakrpa na ranjivim sustavima.
Tehnički detalji značajnih ranjivosti otklonjenih ovim ažuriranjem:
Blast-RADIUS napad zahvaća RADIUS/UDP protokol, koji se široko koristi za autentifikaciju u raznim mrežnim uslugama. Ranjivost proizlazi iz korištenja MD5 hash algoritma u Response Authenticatoru RADIUS protokola. Napadač iskorištava ovu ranjivost presretanjem i izmjenom RADIUS poruka između klijenta i poslužitelja.
Ovaj postupak može biti završen za 3 do 6 minuta, iako napredni hardver može značajno smanjiti ovo vrijeme, čineći napad izvedivim unutar tipičnog RADIUS timeout perioda od 30 do 60 sekundi.
Zahvaćeni proizvodi:
- Ranjivost zahvaća svaki sustav koji koristi RADIUS/UDP protokol za autentifikaciju bez omogućenog Message-Authenticator atributa što uključuje širok raspon mrežnih uređaja i usluga.
- Popis zahvaćenih Cisco proizvoda dostupan je u službenim objavama. Također su zahvaćeni ostali proizvođači, uključujući WatchGuard, Palo-Alto, Microsoft i mnogi drugi.
Kako bi se umanjio rizik od iskorištavanja, preporučuju se sljedeće mjere:
- Omogućiti Message-Authenticator atribut: Osigurati da sve RADIUS komunikacije uključuju Message-Authenticator atribut, koji koristi HMAC-MD5 za jaču zaštitu protiv MitM napada.
- Ažurirati RADIUS implementacije: Kako bi otklonili ovu ranjivost primijeniti zakrpe i ažuriranja koje pružaju proizvođači RADIUS softvera.
Više informacija moguće je pročitati na poveznicama u nastavku:
- https://www.bleepingcomputer.com/news/security/new-blast-radius-attack-bypasses-widely-used-radius-authentication/
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-radius-spoofing-july-2024-87cCDwZ3
- https://cybersecuritynews.com/radius-protocol-vulnerability-cisco/
- https://www.watchguard.com/wgrd-psirt/advisory/wgsa-2024-00013
- https://security.paloaltonetworks.com/CVE-2024-3596
- https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2024-3596
[inicijalna objava: 30.07.2024 - 11:36]
Normativni akti
- Ustav Republike Hrvatske
- Strategija nacionalne sigurnosti
- Zakon o sustavu domovinske sigurnosti
- Zakon o sigurnosno-obavještajnom sustavu RH
- Zakon o tajnosti podataka
- Zakon o informacijskoj sigurnosti
- Uredba o mjerama informacijske sigurnosti
- Nacionalna strategija kibernetičke sigurnosti i Akcijski plan za provedbu Nacionalne strategije kibernetičke sigurnosti
- Zakon o provedbi Uredbe (EU) 2019/881 Europskog parlamenta i Vijeća od 17. travnja 2019. (Zakon o provedbi kibernetičke sigurnosne certifikacije)
- Zakon o kibernetičkoj sigurnosti
- Odluka o provedbi Odluke br. 1104/2011/EU Europskog parlamenta i Vijeća od 25. listopada 2011. o pravilima za pristup javno reguliranoj usluzi koju pruža globalni navigacijski satelitski sustav uspostavljen u sklopu programa Galileo
- Smjernice za postupanje s neklasificiranim podacima