BlastRADIUS Newsmeldung

Schwachstelle im RADIUS-Protokoll entdeckt

Am 9. Juli 2024 wurde eine Schwachstelle im RADIUS-Protokoll veröffentlicht, die es Angreifern ermöglicht, Antworten des RADIUS-Servers zu manipulieren und sich so unautorisierten Zugang zu verschaffen.

Symbolbild Desktop mit Code und IconsDie Schwachstelle wurde von Forscherinnen und Forschern der Boston University, UC San Diego und Microsoft Research entdeckt und auf den Namen BlastRADIUS getauft. Sie nutzt Schwächen der kryptographsichen Hash-Funktion MD5 in Zusammenhang mit Eigenschaften des RADIUS-Protokolls aus. Um interessierten Admins einen Einblick in die Hintergründe der Schwachstelle und ihre Auswirkungen zu geben, haben wir ein Video erstellt, das den Angriff auf technischer Ebene erklärt.

Die Schwachstelle betrifft explizit nicht eduroam. Hier schreiben die Spezifikationen der verwendeten weiteren Protkolle bereits vor, dass Gegenmaßnahmen, die eine Ausnutzung der Schwachstelle verhindern, implementiert sein müssen.
Unabhängig von der aktuellen Schwachstelle sollte RADIUS nur in sicheren Umgebungen genutzt werden, und außerhalb davon nur in verschlüsselter Form übertragen werden, z. B. mit RADIUS/TLS (RFC 6614) oder RADIUS/DTLS (RFC7360).
Im DFN-Verein wird seit vielen Jahren RADIUS/TLS für die sichere Übertragung der RADIUS-Pakete in die eduroam-Föderationsinfrastuktur verwendet.

Video – Die Hintergründe der Schwachstelle und ihre Auswirkungen

Link-Sammlung

Für weitere Informationen haben wir ebenfalls eine Link-Sammlung zu weiterführenden Resourcen, Advisories, etc. erstellt: