Otkrivena je kritična ranjivost u protokolu usluge daljinske autentifikacije Dial-In User Service (RADIUS), koja utiče na više Cisco proizvoda.
Ranjivost, CVE-2024-3596 , omogućava napadaču na putu da krivotvori RADIUS odgovore, što potencijalno dovodi do neovlaštenog pristupa mrežnim resursima. To bi takođe moglo uticati na brojne Cisco proizvode i usluge u cloud-u.
Ranjivost, poznatu kao ” Blast-RADIUS “, otkrivena je 7. jula 2024. od strane tima sigurnosnih istraživača sa UC San Diego i njihovih partnera. Iskorištava fundamentalni nedostatak u korištenju MD5 od strane RADIUS protokola za autentifikaciju odgovora.
Napadač može koristiti napad kolizije s odabranim prefiksom da izmijeni bilo koji važeći RADIUS odgovor (Pristup-Prihvati, Pristup-Odbij ili Pristup-Izazov) u drugi odgovor po svom izboru bez potrebe da zna zajedničku tajnu između RADIUS klijenta i servera.
Uticaj na Cisco proizvode
Ciscoov tim za reagovanje na sigurnosne incidente (PSIRT) aktivno istražuje svoju liniju proizvoda kako bi utvrdio na koje proizvode i usluge to može uticati. Od 24. jula 2024. Cisco je identifikovao nekoliko ranjivih proizvoda u različitim kategorijama:
- Uređaji za sigurnost mreže i sadržaja:
- Adaptive Security Appliance (ASA)
- Firepower Device Manager (FDM)
- Identity Services Engine (ISE)
- Secure Email Gateway
- Secure Firewall
- Upravljanje mrežom i pružanje usluga:
- Kontrolor infrastrukture politike aplikacija (APIC)
- Crosswork Change Automation
- Nexus kontrolna tabla
- Usmjeravanje i prebacivanje:
- ASR ruteri serije 5000
- Catalyst SD-WAN kontroler
- IOS XE softver
- IOS XR
- Prekidači serije Nexus 3000, 7000 i 9000
- Unified Computing:
- UCS Central Software
- UCS Manager
Cisco je takođe potvrdio da nekoliko proizvoda nije ranjivo, uključujući određene bežične pristupne tačke, DNA Spaces konektor i UCS B-Series Blade servere.
Kompanija apeluje na kupce da ostanu informisani o istrazi koja je u toku i potencijalnim uticajima na njihove mreže. Trenutno ne postoje rješenja za ovu ranjivost.
Cisco PSIRT je potvrdio dostupnost koda za iskorištavanje dokaza o konceptu za ovu ranjivost , ali nije svjestan bilo kakve zlonamjerne upotrebe u divljini.
Ranjivost nije ograničena na Cisco proizvode. Drugi dobavljači, uključujući Microsoft, RedHat i Juniper Networks, takođe istražuju utjecaj na svoje proizvode. Široka upotreba RADIUS-a u umrežavanju i uslugama u oblaku čini ovu ranjivost značajnom prijetnjom u cijeloj industriji.
Ublažavanje i preporuke
Cisco preporučuje da korisnici koji koriste RADIUS za autentifikaciju implementiraju sljedeća ublažavanja kako bi zaštitili svoje mreže:
- Koristite TLS ili DTLS enkripciju: RADIUS klijenti i serveri konfigurisani da koriste DTLS ili TLS preko TCP-a nisu eksploatisani, pod uslovom da se saobraćaj ne šalje u otvorenom tekstu.
- Mrežna izolacija: Izolirajte RADIUS resurse od nepouzdanih izvora koristeći sigurne VPN tunele i segmentaciju mreže.
- Ažuriranja softvera: Redovno proveravajte da li postoje ažuriranja softvera i primenite zakrpe čim postanu dostupne.
Mrežni administratori se pozivaju da pregledaju svoje RADIUS konfiguracije i primjene preporučena ublažavanja kako bi zaštitili svoje sisteme.
Izvor:CyberseucirtyNews