Niedawno specjaliści cyberbezpieczeństwa odkryli krytyczną lukę w protokole RADIUS (CVE-2024-3596), która umożliwia atak typu Man-in-the-Middle. Luka pozwala osobie atakującej modyfikować pakiety RADIUS, co może prowadzić do nieautoryzowanego dostępu do urządzeń i usług sieciowych. Problem dotyczy wszystkich implementacji RADIUS korzystających z nieszyfrowanych metod uwierzytelniania (np. PAP, CHAP, MS-CHAPv2) w komunikacji przez UDP.
Producenci urządzeń sieciowych reagują na tę podatność, wprowadzając szereg aktualizacji w swoich produktach. Nowe wersje oprogramowania wymuszają walidację atrybutu message-authenticator i odrzucają odpowiedzi RADIUS z niezrozumiałymi atrybutami proxy-state.
Aby zabezpieczyć sieć, zaleca się implementację protokołów TLS lub IPSec, które zapobiegają tego typu zagrożeniom. Warto również zauważyć, że standard 802.1X (EAP) nie jest podatny na tę lukę, co czyni go bezpieczną i rekomendowaną metodą.
Zaleca się administratorom sieci wdrożenie dostępnych aktualizacji i przejście na szyfrowane metody uwierzytelniania wszędzie tam, gdzie to możliwe. Dodatkowo warto monitorować ruch RADIUS pod kątem nietypowych aktywności, aby szybko wykryć ewentualne próby ataku. W szczególny sposób problem dotyczy sieci wysyłających ruch RADIUS przez Internet.
System NACVIEW ma już stosowną poprawkę, aby w pełni współpracować z różnymi urządzeniami sieciowymi, zapewniając zgodność z najnowszymi wymaganiami bezpieczeństwa oraz ochronę przed luką BlastRADIUS.