ブログ

Blast-RADIUS の脆弱性には今すぐ対処が必要

エリン・ヴァーナ サムネイル
エリン・ヴァーナ
2024年7月31日公開

一般的なクライアント サーバー ネットワーク プロトコルである RADIUS の欠陥は、最近、サイバー セキュリティの専門家から多くの報道や報道を受けています。 この欠陥は、大学やテクノロジー業界の研究者によって発見され、共通脆弱性評価システム (CVSS) スコア 9 を獲得し、重大な脆弱性領域に分類されました ( CVE-2024-3596およびVU#456537 )。 RADIUS プロトコルは、1990 年代後半以降に導入されたほとんどのルーター、スイッチ、VPN アクセス ポイントをサポートしているため、RADIUS クライアントとサーバー間の中間者 (MITM) 攻撃によって、攻撃者がユーザー認証をバイパスする余地が大きく残されます。 攻撃者は、RADIUS プロトコルに依存するあらゆるデバイス、ネットワーク、またはインターネット サービスにアクセスできるようになります。

脆弱性はどのように機能しますか?

米国国立標準技術研究所 (NIST) の国家脆弱性データベース (NVD) によると、RADIUS プロトコルは「RFC 2865 の下では、MD5 応答認証子署名に対する選択プレフィックス衝突攻撃を使用して、有効な応答 (Access-Accept、Access-Reject、または Access-Challenge) を他の応答に変更できるローカル攻撃者による偽造攻撃の影響を受けやすい」とのことです。 

このシナリオでは、攻撃者はクレデンシャルスタッフィングなどのブルートフォース攻撃に頼ることなく、ネットワークデバイスやサービスへの権限を昇格できます。 この欠陥を発見した大学の研究者と大手テクノロジー企業によってBlast-RADIUS サイトが作成され、脆弱性と緩和方法に関する詳細な情報に加え、いくつかの貴重な質問と回答が掲載されています。

簡単にまとめると、脅威モデルでは、攻撃者がネットワーク アクセスを取得し、RADIUS クライアントと RADIUS サーバーの間で「中間者」として行動して、受信パケットと送信パケットを読み取り、傍受、変更、または停止できるようになります。 プロキシが使用されている場合、攻撃はどのホップ間でも発生する可能性があります。

影響を受けるのは誰ですか?

ユーザー データグラム プロトコル (UDP) 経由の拡張認証プロトコル (EAP) を使用していないRADIUS 実装を持つ組織は脆弱であるため、RADIUS サーバーを直ちにアップグレードする必要があります。 EAP は、ネットワーク接続で頻繁に使用される認証フレームワークです (IETF Datatracker のRFC 3748 - Extensible Authentication Protocol の概要を参照)。 研究者によると、Blast-RADIUS は EAP 認証のみを実行する RADIUS サーバーには影響を与えないようです (ただし、すべてをアップグレードすることをお勧めします)。

何をすべきでしょうか?

ネットワークを保護するために今すぐ実行できる手順と今後実行できる手順は次のとおりです。

  1. Blast-RADIUS サイトに記載されているように、まず最初に RADIUS サーバーをすぐにアップグレードし、次に可能な限りクライアントをアップグレードする必要があります。 すべての要求と応答(Access-Accept、Access-Reject、または Access-Challenge)に対して、「message-authenticator」属性を介して RADIUS パケットの暗号署名を有効にしてください。
  2. 長期的には、 RADIUS を暗号化され認証されたチャネル内に配置することが、サイバーセキュリティの専門家からの現在の推奨事項です。
  3. 多くの攻撃者が暗号化されたトラフィックに隠れたマルウェアを利用してネットワークに侵入することを考えると、 SSL/TLS トラフィック全体を把握することも重要です。 F5 BIG-IP SSL Orchestratorに精通している場合、このソリューションは、暗号化の背後に隠れている悪意のあるトラフィックを根絶し、攻撃者が侵入したり環境全体に横移動したりするのを防ぐのに役立ちます。

RADIUS について少しおさらいしたいですか?

RADIUS ネットワーク プロトコルは、認証、承認、アカウンティング (AAA) を通じてネットワークへのアクセスを制御するための業界で認められた標準です。 RADIUS プロトコルは、1990 年代に開発されて以来導入されているほぼすべてのスイッチ、ルーター、アクセス制御ポイント、または VPN ハブをサポートしています。

RADIUS は、登場以来の脅威環境の急激な変化を考慮すると、今日のサイバーセキュリティの脅威戦術を念頭に置いて設計されたものではないと言っても過言ではありません。 しかし、脆弱性は避けられないものであることはわかっています。 最善の対応は迅速な対応です。 できる場合は常にパッチを適用してアップグレードしてください。 攻撃者が攻撃に成功した場合の影響を最小限に抑えるには、階層化されたセキュリティ アプローチを採用することも重要です。 Blast-RADIUS であれ、次に話題になる脆弱性であれ、ネットワーク内の各主要ポイントに保護対策を講じることは、攻撃者による横方向の移動を阻止し、攻撃を封じ込め、被害を最小限に抑える上で役立ちます。