
海外のセキュリティベンダー「InkBridge Networks」はRADIUS プロトコル(RADIUS認証)へ重大な脆弱性(CVE-2024-3596)により、Blast-RADIUS 攻撃が可能になる事を指摘しました。
目次
脆弱性 CVE-2024-3596 について
RADIUS プロトコルの脆弱性により、Message-Authenticator 属性が要求されないか強制されていない場合でも、攻撃者が認証応答を偽造できる可能性があります。
RADIUS(ラディウス)プロトコルとは
RADIUS(ラディウス)プロトコルは、ダイヤルアップ インターネットの時代である 1991 年に初めて設計されました。
ネットワーク デバイスへのユーザーと管理者のリモート アクセスに使用される事実上の標準的な認証プロトコルであり続けています。RADIUS は、「過去 20 年間に販売されたほぼすべてのスイッチ、ルーター、アクセス ポイント、VPN コンセントレータ製品」でサポートされて、現在でもネットワーク インフラの中核となっています。
Blast-RADIUS 攻撃(ブラスト ラディウス)とは
Blast-RADIUS 攻撃(ブラスト ラディウス)攻撃は海外のセキュリティベンダー「InkBridge Networks」のリサーチャーが命名した攻撃で、
RADIUS クライアントとサーバーの間の中間者攻撃者が、失敗した認証要求への応答として有効なプロトコル承認メッセージを偽造できます。
この偽造により、攻撃者はパスワードや共有秘密を推測したりブルートフォース攻撃したりすることなく、ネットワーク デバイスやサービスにアクセスできます。
攻撃者はユーザーの資格情報を知ることはありません。
Blast-RADIUS 攻撃の影響範囲
Blast-RADIUSはプロトコルの脆弱性であるため、UDP上で非EAP認証方法を使用するすべてのRADIUSの実装に影響を与えます。
InkBridge Networks は、この脆弱性に対処するために、最低限、世界中のすべての RADIUS サーバーをアップグレードすることを推奨しています。「RADIUS クライアントだけをアップグレードするだけでは不十分です。そうすると、ネットワークが脆弱なままになってしまいます。」としています。
Blast-RADIUS 攻撃が発生する根本的な原因
攻撃の根本的な原因は、RADIUS プロトコルでは、一部のアクセス要求パケットが認証されておらず、整合性チェックが不足していることです。攻撃者はこれらのパケットを変更して、誰がネットワークにアクセスできるのかを制御できます。としています。
Blast-RADIUS 攻撃に関する緩和策/対策
実装者とベンダーに推奨される短期的な緩和策は、クライアントとサーバーが常にすべての要求と応答Message-Authenticator
の属性を送信および要求することを義務付けることです。
またはレスポンスの場合は、最初の属性としてMessage-Authenticator
を含める必要があります。
この緩和策を実装するパッチは、すべての RADIUS 実装で実装されています。 このガイダンスは、今後のRADIUS RFCに組み込まれる予定です。
長期的な緩和策としては、最新の暗号化セキュリティ保証を提供する暗号化および認証されたチャネル内で RADIUS を使用することです。本件に関連しIETF は、RADIUS over (D)TLSの標準化に取り組み始めました。
引用:Blast-RADIUS
関連記事