Design-Fehler in RADIUS:
Viele Netzwerke sind in akuter Gefahr
In einem der wichtigsten Authentifizierungs-Protokolle vieler Netzwerke steckt eine seit vielen Jahren nicht erkannte Sicherheitslücke. Über diese können Angreifer sich Zugang verschaffen und sogar eine Zwei-Faktor-Absicherung aushebeln.
Gefunden wurde die Schwachstelle im RADIUS-Protokoll vom Sicherheitsunternehmen InkBridge Networks. Dieses beschrieb jetzt die Funktionsweise eines sogenannten BlastRADIUS-Angriffs und warnte, dass Infrastrukturen wie interne Unternehmensnetzwerke, Internetdienstanbieter (ISPs) und Telekommunikationsunternehmen (Telcos) einem hohen Risiko ausgesetzt sind.
"Die Ursache des Angriffs ist, dass im RADIUS-Protokoll einige Access-Request-Pakete nicht authentifiziert werden und keine Integritätsprüfungen enthalten. Ein Angreifer kann diese Pakete so verändern, dass er kontrollieren kann, wer Zugang zum Netzwerk erhält", erklärte das Forschungsteam in seiner Analyse.
Besonders gravierend wird das Problem dadurch, dass die Schwachstelle nicht einfach durch einen Programmierfehler entstanden ist, der sich mit einem einfachen Patch aus der Welt schaffen ließe. Vielmehr handelt es sich um einen "grundlegenden Designfehler des RADIUS-Protokolls", hieß es. Insbesondere RADIUS-Clients und -Server, die standardkonform sind, dürften daher anfällig sein.
Siehe auch:
"Die Ursache des Angriffs ist, dass im RADIUS-Protokoll einige Access-Request-Pakete nicht authentifiziert werden und keine Integritätsprüfungen enthalten. Ein Angreifer kann diese Pakete so verändern, dass er kontrollieren kann, wer Zugang zum Netzwerk erhält", erklärte das Forschungsteam in seiner Analyse.
Kein einfacher Bug
Das RADIUS-Protokoll wurde Ende der 1990er-Jahre standardisiert und kommt seitdem für die Steuerung des Netzwerkzugriffs in zahlreichen Switches, Routern, Access Points und VPN-Produkten zum Einsatz. All diese Geräte sind nach Einschätzung der Sicherheitsforscher wahrscheinlich anfällig für BlastRADIUS-Angriffe.Besonders gravierend wird das Problem dadurch, dass die Schwachstelle nicht einfach durch einen Programmierfehler entstanden ist, der sich mit einem einfachen Patch aus der Welt schaffen ließe. Vielmehr handelt es sich um einen "grundlegenden Designfehler des RADIUS-Protokolls", hieß es. Insbesondere RADIUS-Clients und -Server, die standardkonform sind, dürften daher anfällig sein.
Immerhin teuer
Aktuell gibt es einen Proof-of-Concept-Exploit der Sicherheitsforscher, den diese aber nicht öffentlich machen. BlastRADIUS-Angriffe wurden in freier Wildbahn hingegen bislang nicht registriert. Selbst wenn es jemandem gelänge, den Exploit nachzubilden, so die Forscher, wäre ein erfolgreicher Angriff kostspielig - was aber beispielsweise bei Geheimdiensten und anderen staatlichen Akteuren kein größeres Problem darstellt.Es kann eine erhebliche Menge an Cloud-Computing-Leistung erforderlich sein, um den Angriff erfolgreich durchzuführen. Diese Kosten fallen auch pro ausgenutztem Paket an und können nicht automatisch auf viele Pakete angewendet werden. Wenn ein Angreifer 100 Angriffe durchführen möchte, muss er 100-mal so viel Rechenleistung einsetzen.
Zusammenfassung
- Sicherheitslücke im RADIUS-Protokoll ermöglicht Netzwerkzugriff
- Zwei-Faktor-Absicherung kann durch BlastRADIUS-Angriffe umgangen werden
- Schwachstelle betrifft Geräte wie Switches, Router und VPNs
- Designfehler im Protokoll, nicht nur ein einfacher Programmierfehler
- Proof-of-Concept-Exploit existiert, ist jedoch nicht öffentlich
- Hohe Kosten für erfolgreiche Angriffe durch notwendige Rechenleistung
- Bisher keine realen BlastRADIUS-Angriffe dokumentiert
Siehe auch:
Thema:
Neueste Downloads
Beliebt im Preisvergleich
- Internet Security:
Neue Nachrichten
Beliebte Nachrichten
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen