BlastRADIUS の脆弱性 CVE-2024-3596 が FIX:PoC と防御策を解説する

BlastRADIUS Vulnerability (CVE-2024-3596): Flaw in RADIUS Protocol Exposes Networks to Attack

2024/07/09 SecurityOnline — RADIUS プロトコルで新たに発見された、”BlastRADIUS” と呼ばれる脆弱性 CVE-2024-3596 が、ネットワーク・セキュリティに深刻なリスクをもたらしている。カリフォルニア大学サンディエゴ校の研究者たちは、この脆弱性に対する実用的なエクスプロイトを発表し、RADIUS プロトコルに対する攻撃が初めて証明された。すでに FreeRADIUS は、ガイダンスとアップデートを公開し、この深刻な脅威を軽減している。


以前から、MD5 暗号アルゴリズムに対する攻撃は知られていたが、このような RADIUS プロトコルに対する攻撃が、実証されたのは初めてのことである。この発見は、Nadia Heninger が率いる研究チームによるものであり、ネットワーク認証に RADIUS を利用している組織にとって、セキュリティ上の重大な懸念があることが浮き彫りにされた。

FreeRADIUS は、「RADIUS プロトコルの、基本的な設計上の脆弱性が原因とない、この攻撃が成立する。つまり、特定の実装や製品における脆弱性ではない。RADIUS プロトコルのすべての側面を正しく実装している場合であっても、標準に準拠した全 RADIUS クライアント/サーバは、この攻撃に対して脆弱だと思われる」と述べている。

この攻撃は、中間者 (MITM) 攻撃に分類され、攻撃者はアクセス・リクエスト・パケットを傍受/変更する必要がある。この攻撃が成功するかどうかは、これらのパケットを観察/変更する攻撃者の能力しだいであるが、影響を受けるネットワーク内のセキュリティ対策を強化する必要性が強調される。

FreeRADIUS は、Nadia Heninger のチームと協力し、この脆弱性を解析/対処した。彼らの発見と推奨される緩和策は、At Network RADIUS サイトで入手可能な、エンジニアリング・ホワイトペーパーに詳述されている。このホワイトペーパーでは、RADIUS の実装とネットワーク・インフラのセキュリティを確保するために必要な、エンジニアリングの取り組みが概説され、推奨事項を遵守することで、潜在的な悪用を防ぐことが重要だと強調されている。

BlastRADIUS の脆弱性 CVE-2024-3596 は、中間者 (MITM) の立場を必要とするため、悪用が発見された場合には、すでにネットワークが侵害されている可能性が示唆されるが、それでも早急な対応が重要である。

FreeRADIUS ユーザーは、特定の設定を変更することで、システムの保護が可能となる。特に、”require_message_authenticator = true” フラグに関しては、すべてのクライアント定義に設定する必要がある。このフラグはバージョン 3 から利用可能であり、文書化もされているが、 デフォルトでは有効化されていない。このフラグを有効化することで、FreeRADIUS を使用するシステムは、BlastRADIUS 攻撃に対して脆弱でないことが保証される。

さらに FreeRADIUS チームは、ネットワーク機能を維持しながら攻撃を緩和するために、”radiusd.conf” ファイルに2つの新しいコンフィグ・オプションを導入している:

security {
    ...
    require_message_authenticator = auto
    limit_proxy_state = auto
}

これらのオプションは、グローバルまたは個々のクライアント定義に適用可能であり、エクスプロイトに対する柔軟かつ包括的な防御を提供する。

NAS クライアント (非プロキシ・デバイス) の場合には、クライアント定義に “limit_proxy_state = yes” を取り込むかたちで更新することが重要である。プロキシ・クライアント (他の RADIUS サーバ) の場合には、すべての “Access-Request” パケットに、”require_message_authenticator” 属性が存在することが必要となる。RADIUS サーバのアップグレードに加えて、この対策が、攻撃を防ぐためには不可欠である。

この RADIUS の脆弱性 CVE-2024-3596 ですが、第一報は 2024/06/16 の「RADIUS プロトコルの BlastRADIUS という脆弱性:ネットワークへの MiTM 攻撃の可能性」となっています。同じ SecurityOnline なので、必ずアップデートがあると思いましたが、見比べてみると、それほどの差は感じられません。ただし、文中のホワイトペーパーと、Blast-RADIUS Attack in More Detail へのリンクは、前回の記事にはなかったと思います。これが、今日の記事の背景にあるのでしょう。