{"id":297181,"date":"2024-07-10T23:21:11","date_gmt":"2024-07-10T21:21:11","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=297181"},"modified":"2024-07-10T23:43:54","modified_gmt":"2024-07-10T21:43:54","slug":"blast-radius-angriff-ermglicht-radius-authentifizierung-zu-umgehen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/07\/10\/blast-radius-angriff-ermglicht-radius-authentifizierung-zu-umgehen\/","title":{"rendered":"Blast-RADIUS-Angriff ermöglicht RADIUS-Authentifizierung zu umgehen"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Eine von Sicherheitsforschern entdeckte Schwachstelle (CVE-2024-3596) erm\u00f6glicht es, sich in einem Netzwerk mittels des RADIUS-Netzwerk-Authentifizierungsprotokolls ohne weitere Authentifizierung anzumelden. Die Blast-RADIUS genannte Schwachstelle k\u00f6nnte die Netzwerksicherheit in Unternehmen gef\u00e4hrden, weil die RADIUS-Netzwerk-Authentifizierung unterlaufen werden kann.<\/p>\n

<\/p>\n

Die RADIUS-Authentifizierung<\/h2>\n

\"\"RADIUS<\/a> ist ein ein Client-Server-Protokoll, das zur Authentifizierung, Autorisierung und zum Accounting von Benutzern bei Einwahlverbindungen in ein Computernetzwerk (virtuelles Netzwerk, VPN, Remote Access Services, RAS) dient. RADIUS wird in einer Vielzahl von Anwendungen eingesetzt, u. a. in Unternehmensnetzen zur Authentifizierung des Zugangs zu Switches und anderen Routing-Infrastrukturen, f\u00fcr den VPN-Zugang, von ISPs f\u00fcr DSL und FTTH (Fiber to the Home), bei der 802.1X- und Wi-Fi-Authentifizierung, beim 2G- und 3G-Mobilfunk-Roaming und bei der 5G-DANN-Authentifizierung (Data Network Name), beim mobilen Wi-Fi-Offload mit SIM-Karten-basierter Authentifizierung, bei der privaten APN-Authentifizierung, zur Authentifizierung des Zugangs zu kritischen Infrastrukturen und in den WLAN-Konsortien Eduroam und OpenRoaming.<\/p>\n

Das K\u00fcrzel RADIUS steht f\u00fcr Remote Authentication Dial-In User Service, und ein RADIUS-Server \u00fcbernimmt die Authentifizierung der Clients im Netzwerk mittels Benutzername und Kennwort. Des Weiteren werden Parameter f\u00fcr die Verbindung zum Client bereitgestellt. Die dabei verwendeten Daten entnimmt der RADIUS-Server eigenen Konfigurationsdateien, eigenen Konfigurationsdatenbanken oder ermittelt diese durch Anfragen an weitere Datenbanken oder Verzeichnisdienste, in denen die Zugangsdaten wie Benutzername und Kennwort gespeichert sind.<\/p>\n

Das RADIUS-Protokoll (Remote Authentication Dial-In User Service) ist das Kernst\u00fcck der heutigen Netzinfrastruktur. Obwohl das Protokoll bereits 1991 entwickelt wurde, ist es nach wie vor das Standard-Authentifizierungsprotokoll f\u00fcr den Remote-Zugriff von Benutzern und Administratoren auf vernetzte Ger\u00e4te. RADIUS wird laut dieser Quelle<\/a> von fast allen Switches, Routern, Access Points und VPN-Konzentratoren unterst\u00fctzt, die in den letzten zwanzig Jahren verkauft wurden\".<\/p>\n

Die Blast-RADIUS-Schwachstelle (CVE-2024-3596)<\/h2>\n

Der Begriff Blast-Radius beschreibt den Radius f\u00fcr Sch\u00e4den bei einer Explosion, hier bezieht es sich auf den Schaden in einem Netzwerk, wenn die Schwachstelle ausgenutzt wird. Blast-RADIUS ist eine Schwachstelle (CVE-2024-3596<\/a>) im RADIUS-Protokoll, die es einem Angreifer erm\u00f6glicht, jede g\u00fcltige Antwort (Access-Accept, Access-Reject oder Access-Challenge)\u00a0 des RADIUS-Servers zu f\u00e4lschen und in eine andere Antwort umzusetzen. Die Schwachstelle wurde mit einem CVS Score von 7.5 eingestuft.<\/p>\n

Entdeckt wurde Blast-RADIUS von Sicherheitsforschern von Cloudflare, Microsoft, UC San Diego, CWI Amsterdam und BastionZeround entdeckt und wird hier beschrieben<\/a>. Zur Ausnutzung der Schwachstelle muss der Angreifer als Man-in-the-middle (MitM) zwischen Client und Server einen Angriff mit gew\u00e4hlter Pr\u00e4fix-Kollision gegen die MD5 Response Authenticator-Signatur durchf\u00fchren.<\/p>\n

Durch diese F\u00e4lschung der Antworten vom RADIUS-Server kann der Angreifer Zugang zu Netzwerkger\u00e4ten und -diensten erhalten, ohne dass er Passw\u00f6rter oder gemeinsam genutzte Geheimnisse erraten oder erzwingen muss. Der Angreifer erf\u00e4hrt keine Benutzeranmeldedaten. Die Schwachstelle kann nur ausgenutzt werden, wenn keine EAP-Authentifizierungsmethoden \u00fcber UDP verwendet werden. Weiterhin muss man feststellen, dass die Sicherheitsforscher die MD5-Kollision ziemlich optimieren und parallelisieren mussten, so dass der Angriff in Minuten statt in Stunden abl\u00e4uft. Aktuell ist der Angriff daher eher theoretischer Natur, k\u00f6nnte aber in Zukunft ausgenutzt werden. heise beschreibt es hier<\/a> ganz gut: Die Forscher ben\u00f6tigten trotz Optimierung ca. 3-6 Minuten, den MD5-Hash aufzubrechen, w\u00e4hrend \u00fcbliche RADIUS-Implementierungen f\u00fcr den Authentifizierungs-Prozess 30 bis 60 Sekunden zugestehen.<\/p>\n

Was kann\/sollte man tun?<\/h2>\n

Endbenutzer k\u00f6nnen selbst nichts tun, um sich vor diesem Angriff zu sch\u00fctzen. Hier sind die Administratoren von Unternehmensnetzwerken in denen das RADIUS-Netzwerkprotokoll verwendet wird, gefordert. Als erstes sollte man pr\u00fcfen, ob die RADIUS-Implementierung EAP-Authentifizierungsmethoden \u00fcber UDP unterst\u00fctzt. Wird diese Variante konfiguriert, funktioniert Blast-RADIUS nicht mehr.<\/p>\n

Die Entdecker empfehlen unter blastradius.fail<\/a>, dass Systemadministratoren von Netzwerken, die RADIUS verwenden, sich bei den Anbietern der Komponenten nach einem Patch gegen diese Sicherheitsl\u00fccke erkundigen und die in der Q&A -Sektion auf der Seite<\/a> beschriebenen bew\u00e4hrten Verfahren f\u00fcr die RADIUS-Konfiguration befolgen sollten.<\/p>\n

Microsoft hat zum 9. Juli 2024 ein Sicherheitsupdate f\u00fcr die im Support befindlichen Windows-Versionen (Clients und Server) mit einem Patch gegen Blast-RADIUS bereitgestellt. Die betreffenden Patches zum Schlie\u00dfen der RADIUS Protocol Spoofing-Schwachstelle CVE-2024-3596 sind hier beschrieben<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Eine von Sicherheitsforschern entdeckte Schwachstelle (CVE-2024-3596) erm\u00f6glicht es, sich in einem Netzwerk mittels des RADIUS-Netzwerk-Authentifizierungsprotokolls ohne weitere Authentifizierung anzumelden. Die Blast-RADIUS genannte Schwachstelle k\u00f6nnte die Netzwerksicherheit in Unternehmen gef\u00e4hrden, weil die RADIUS-Netzwerk-Authentifizierung unterlaufen werden kann.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[123,426,7459,301,3694,2557],"tags":[4307,4328,3836,4315,3288],"class_list":["post-297181","post","type-post","status-publish","format-standard","hentry","category-netzwerk","category-sicherheit","category-software","category-windows","category-windows-10","category-windows-server","tag-netzwerk","tag-sicherheit","tag-software","tag-update","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/297181","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=297181"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/297181\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=297181"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=297181"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=297181"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}