RADIUS プロトコルの BlastRADIUS という脆弱性:ネットワークへの MiTM 攻撃の可能性

BlastRADIUS Vulnerability: Critical Flaw in RADIUS Protocol Exposes Networks to Attack

2024/06/16 SecurityOnline — RADIUS プロトコルに新たに発見された “BlastRADIUS” という脆弱性が、ネットワーク・セキュリティに重大なリスクをもたらしている。カリフォルニア大学サンディエゴ校の研究者たちが、この脆弱性に対する実用的なエクスプロイトを発表したことで、RADIUS プロトコルに対する攻撃が初めて実証された。FreeRADIUS Server Project は、この重大な脅威を軽減するためのガイダンスを公開し、迅速なアップデートで対応している。


以前から、MD5 暗号アルゴリズムに対する攻撃は知られていたが、このような攻撃が RADIUS プロトコルに対して、実際に実証されたのは初めてのことである。この発見は、Nadia Heninger が率いる研究チームによるものであり、ネットワーク認証に RADIUS を利用している組織にとって、セキュリティ上の重大な懸念が存在することが浮き彫りにされた。

このセキュリティ通知には、「発見された攻撃パターンは、特定の実装や製品の欠陥ではなく、RADIUS プロトコルの基本的な設計上の欠陥に起因するものだ。標準に準拠している RADIUS クライアントとサーバが、たとえ RADIUS プロトコルにおける全ての側面を正しく実装していたとしても、この攻撃に対して脆弱である可能性が高い」と記されている。

この攻撃は、中間者 (MiTM:Man-in-the-Middle) 攻撃に分類されるものであるため、攻撃者には Access-Request パケットを傍受して変更する必要が生じる。この攻撃 の成功/不成功は、これらのパケットを観察する攻撃者が、その変更を達成できるかどうかにかかっている。ただし、その結果に関係なく、影響を受けるネットワーク内のセキュリティ対策を強化する必要性が強調される。

FreeRADIUS Server Project と Nadia Heninger のチームは協同で、この脆弱性の詳細を明らかにして対処も済ませている。彼らによる、この脆弱性の発見と緩和策については、At Network RADIUS のコーポレート・サイトで、詳細なエンジニアリング・ホワイトペーパーが入手できる。このドキュメントでは、RADIUS の実装とネットワーク・インフラのセキュリティを確保するために必要な、エンジニアリングの取り組みについて概説されており、潜在的な悪用を防ぐために遵守すべき、推奨事項の重要性が強調されている。

MITM 攻撃を前提とする BlastRADIUS の脆弱性は、その悪用が確認された時点で、すでにネットワークが侵害されている可能性が高い。しかし、それであっても、早急な対応は重要である。

FreeRADIUS のユーザーにとって必要なことは、特定の設定を変更することでシステムを保護することであるが、特に注意すべきは、require_message_authenticator = yes フラグを、すべてのクライアント定義に設定することだ。このフラグはバージョン 3 から利用可能であり、文書化もされているが、 デフォルトでは無効化されている。このフラグを有効化することで、FreeRADIUS を使用するシステムを BlastRADIUS 攻撃から保護できる。

さらに FreeRADIUS チームは、radiusd.conf ファイルに2つの新しい設定オプションを導入し、ネットワーク機能を維持しながら攻撃を緩和するようにしている:

security {
    ...
    require_message_authenticator = yes
    limit_proxy_state = yes
}

これらのオプションは、グローバルまたは個々のクライアント定義に適用できるものであり、エクスプロイトに対する柔軟かつ包括的な防御を提供する。

非プロキシ・デバイスである NAS クライアントの場合には、クライアント定義に limit_proxy_state = yes を取り込む含ように更新することが重要である。プロキシ・クライアント (他の RADIUS サーバ) の場合は、すべての Access-Request パケットに、require_message_authenticator 属性が存在することの確認が不可欠だ。他の RADIUS サーバのアップグレードと合わせて、この対策を講じることで、攻撃から身を守る事ができる。

RADIUS プロトコルについて調べてみたら、Remote Authentication Dial-In User Service の略とのことでした。Wikipedia には、「ネットワーク・サービスを使用するユーザーに対して、集中的な AAA (authentication/authorization/accounting) 管理を提供するネットワーク・プロトコルである。1991 年に Livingston Enterprises により、アクセス・サーバ認証およびアカウンティング・プロトコルとして開発された後に、IEEE 802 および IETF 標準に取り入れられた」と紹介されていました。重要なプロトコルに、とても心配な脆弱性が発生しています。ご注意ください。