详细内容或原文请订阅后点击阅览
互联网核心的漏洞:Blast-RADIUS 破坏全球通信基础设施
1991 年的协议已成为 2024 年的大问题。
来源:安全实验室新闻频道互联网核心的漏洞:Blast-RADIUS 破坏全球通信基础设施
1991 年的协议已成为 2024 年的大问题。
安全研究人员发现了 RADIUS 协议中的一个漏洞,该协议是现代网络基础设施的基础。该缺陷允许攻击者无需猜测密码即可访问网络设备和服务。该错误称为 Blast-RADIUS。
已找到 半径Blast-RADIUS 允许通过伪造有效协议接受消息来响应失败的身份验证请求来执行 MiTM 攻击。因此,攻击者无需猜测密码或共享秘密即可访问网络设备和服务。值得注意的是,攻击者不会知道用户的凭据本身。
该漏洞影响所有使用除基于 UDP 的 EAP 之外的身份验证方法的 RADIUS 实现。这意味着所有使用 RADIUS 控制网络资源访问的组织都面临风险。这些组织包括大型企业网络、互联网服务提供商和电信公司。
RADIUS 于 1991 年为拨号互联网时代而开发,至今仍然是用于远程访问网络设备的标准身份验证协议。过去 20 年来销售的几乎所有交换机、路由器、接入点和 VPN 集中器都支持 RADIUS。
在该协议中,NAS 服务器通过查询中央服务器来验证用户的凭据。 RADIUS 客户端和服务器使用共享密钥进行通信。服务器以指示接受(Access-Accept)或拒绝(Access-Reject)请求的消息进行响应。请求和响应可以包含各种参数,包括用户名和密码。
攻击者使用来自合法 RADIUS 客户端 (1) 的不正确凭据启动访问请求,然后执行 碰撞 访问-接受