BlastRADIUS: Schwachstelle im RADIUS/UDP-Protokoll entdeckt
09.07.2024
Das RADIUS-Protokoll (Remote Authentication Dial-In User Service) ist ein weit verbreitetes Protokoll, das zur zentralen Zugriffsverwaltung von VPNs, WLANs und anderen Netzwerkdiensten eingesetzt wird. Die Standardvariante des Protokolls, RADIUS/UDP, verwendet UDP als Transportschicht, keine Verschlüsselung und die veraltete MD5-Hashfunktion als Integritätsschutz.
Die BlastRADIUS-Schwachstelle basiert insbesondere auf MD5-Präfixkollisionen. Sie ermöglicht einem Angreifer in einer Man-in-the-Middle (MitM)-Position, Authentifizierungsentscheidungen von RADIUS-Servern zu verfälschen und damit potentiell beliebige von diesen zuteilbare Privilegien zu erlangen. Eine Ausnutzung der Schwachstelle ist mit erheblichem Aufwand verbunden.
Betroffen sind Konfigurationen, in denen die RADIUS-Clients die Benutzung des Message-Authenticator-Attributs nicht erzwingen. Um die Schwachstelle zu mitigieren, muss der Message-Authenticator von Client und Server angewendet werden. Darüber hinaus empfiehlt sich die Verwendung des RADIUS/(D)TLS Protokolls, bei dem die Integrität und Vertraulichkeit der Nachrichten durch TLS geschützt sind.
In der eduroam-Infrastruktur wird die Verwendung des Message-Authenticator-Attributs durch die weiteren verwendeten Protokolle erzwungen, und sie ist daher nicht vulnerabel. Zudem wird zur Anbindung an die Föderationsinfrastruktur in Deutschland ausschließlich RADIUS/TLS verwendet.
Genauere Details zur Schwachstelle in Text- und Videoform finden Sie auf der folgenden Informationsseite des DFN-Vereins: