BlastRADIUS CVE-2024-3596 (Crítica)

Una Vulnerabilidad de seguridad fue descubierta en el protocolo de autenticación de red RADIUS siendo susceptible a ataques Man-in-the-middle (MitM) y de esta manera poder sortear las comprobaciones de integridad en circunstancias específicas. Dicha vulnerabilidad ha sido denominada blastRADIUS (CVE-2024-3596) y no ha surgido con nuevas actualizaciones, de hecho, es una falla de diseño de tres décadas atrás, esta falla de diseño permite a que atacantes experimentados puedan autenticar a cualquier persona en una red local haciendo uso de exploits eludiendo cualquier protección de autenticación multifactor (MFA).[1][2] 

RADIUS usa un método de seguridad que depende de un hash derivado del algoritmo MD5. Este algoritmo se considera criptográficamente roto desde 2008 y esto tomo efecto por el riesgo de ataques de colisión.[1][2] 

En otras palabras, los paquetes de solicitud de acceso pueden ser vulnerables a lo que se llama un ataque de prefijo elegido, este permite modificar el paquete de respuesta para que pase todas las comprobaciones de integridad de la respuesta original. 

Para que el ataque tenga éxito, el atacante debe poder interceptar y modificar los paquetes de RADIUS en tránsito entre cliente y servidor. Las organizaciones y empresas que envían paquetes por internet pueden sufrir el fallo. 

Diagrama del funcionamiento del exploit

Pasos para llevar a cabo el exploit: [3]

1. El atacante introduce el nombre de un usuario privilegiado y una contraseña incorrecta y arbitraria.
2. El cliente RADIUS genera un RADIUS el cual incluye un valor aleatorio de 16 bytes llamado Access-Request Request Authenticator.
3. El atacante man-in-the-middle intercepta la solicitud y lo utiliza para predecir un formato de la respuesta del servidor. El atacante calcula una colisión MD5 entre la respuesta predicha y la que le gustaría que pasara. Esto resulta en una cadena binaria gibberish “Access-Request Request Authenticator Access-Reject Access-Reject Access-Accept” haciendo que MD5(Access-Reject||RejectGibberish) iguale a MD5(Access-Accept||AcceptGibberish).
4. Despues de calcular la colisión el MitM añade el RejectGibberish al paquete en tránsito disfrazado como un atributo “Access-Request Proxy-State”.
5. El servidor recibe el paquete modificado y comprueba la contraseña del usuario, luego decide rechazar la petición y responde con un paquete. El protocolo adjunta a la respuesta el atributo “Access-Request Access-Reject Proxy-State RejectGibberish””. Además, el servidor calcula y envía el atributo “Response authenticator MD5(Access-Reject | | RejectGibberish | | SharedSecret) para evitar la manipulación. El atacante desconoce el contenido de “Access-Reject SharedSecret” y o puede verificar ni modificar el hash MD5.
6. El atacante intercepta la respuesta y comprueba que coincida con el patrón “Acces-Reject | | RejectGibberish”. Si estos coinciden se reemplaza la respuesta por “Access-Accept | | AcceptGibberish” y lo envía al cliente.
7. Debido a la colisión de MD5, se verifica el paquete enviado por el atacante sin que este sepa el contenido de SharedSecret por lo que el cliente RADIUS cree que el servidor aprobó la solicitud y por lo tanto otorga acceso al atacante.

¿Quién está en riesgo? [4]

• Redes que manden tráfico RADIUS/UDP por el internet principalmente
• ISPs
• Organizaciones que usen RADIUS para accesos administrativos en dispositivos
• Redes corporativas, redes internas empresariales, Proveedores de internet y compañías de telecomunicaciones.

Recomendaciones

• Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
• Auditar herramientas de acceso remoto. (NIST CSF, 2024)
• Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
• Limitar estrictamente el uso de los protocolos SMB y RDP.
• Realizar auditorías de seguridad. (NIST CSF, 2024)
• Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
• Tener filtros de correo electrónico y spam.
• Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
• Realizar copias de seguridad, respaldos o back-ups constantemente.
• Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
• Revisar continuamente los privilegios de los usuarios.
• Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
• Habilitar la autenticación multifactor.

Referencias

• [1.] The hacker news (2024, Julio 9). RADIUS Protocol Vulnerability Exposes Networks to MitM Attacks. Recuperado el 9 de Julio de 2024 en: https://thehackernews.com/2024/07/radius-protocol-vulnerability-exposes.html
• [2.] Naraine R. (2024, Julio 9) BlastRADIUS Attack Exposes Critical Flaw in 30-Year-Old RADIUS Protocol. Recuperado el 9 de Julio de 2024 en: https://www.securityweek.com/blastradius-attack-exposes-critical-flaw-in-30-year-old-radius-protocol/
• [3.] BLAST RADIUS. (2024, Julio 9). Blast-RADIUS Attack in More Detail Recuperado el 9 de Julio de 2024 en: https://www.blastradius.fail/attack-details
• [4.] InkBridge Networks (s.f) Blast RADIUS FAQs Recuperado el 9 de Julio de 2024 en: https://www.inkbridgenetworks.com/blastradius/faq

El nombre es requerido.

El email es requerido.

El email no es válido.

El comentario es requerido.

↻

El captcha es requerido.

Enviar Comentario

Comentarios