15/11/2024

Actu Cybersécurité

La nouvelle attaque Blast-RADIUS peut être utilisée pour outrepasser l’authentification RADIUS !

Une nouvelle faille de sécurité a été découverte dans le protocole d'authentification RADIUS ! Surnommée Blast-RADIUS, cette attaque pourrait permettre à un attaquant de contourner l'authentification RADIUS et pénétrer dans le réseau des entreprises.

Créé il y a plus de 30 ans, le protocole RADIUS est très utilisé par les entreprises pour l'authentification AAA, notamment dans le cadre de l'authentification 802.1X, afin de sécuriser l'accès aux réseaux d'entreprise.

Une nouvelle faille de sécurité a été découverte dans le protocole RADIUS, par plusieurs équipes de chercheurs. Associée à la référence CVE-2024-3596, cette vulnérabilité est liée à une attaque surnommée Blast-RADIUS par les chercheurs. Un site Internet a été mis en ligne à son sujet.

L'attaque Blast-RADIUS est une attaque de type man-in-the-middle (MITM) puisque l'attaquant doit se positionner entre la cible et la ressource demandée, afin qu'il puisse lire ou modifier les communications effectuées sur le réseau.

D'ailleurs, à l'occasion de la sortie de son Patch Tuesday de juillet 2024, Microsoft a corrigé cette vulnérabilité dans Windows et Windows Server, afin de protéger ses utilisateurs. À ce sujet, Microsoft précise sur son site : "Il existe une vulnérabilité dans le protocole RADIUS qui affecte potentiellement de nombreux produits et implémentations du RFC 2865 dans la version UDP du protocole RADIUS. En bref, le protocole RADIUS (RFC 2865) est susceptible de faire l'objet d'attaques par falsification qui peuvent modifier la réponse RADIUS Access-Accept ou Access-Reject."

Cette attaque est liée à l'utilisation de la fonction de hachage MD5 pour l'authentification des requêtes. RADIUS étant un protocole ancien, il ne s'appuie pas sur des méthodes d'authentification modernes : cette vulnérabilité met en lumière les faiblesses actuelles de ce protocole.

"L'attaquant injecte un attribut malveillant dans une requête qui provoque une collision entre les informations d'authentification dans la réponse valide du serveur et la falsification souhaitée par l'attaquant. Cela permet à l'attaquant de transformer un rejet en acceptation et d'ajouter des attributs de protocole arbitraires.", peut-on lire sur le site mis en ligne par les chercheurs en sécurité.

Attaque Blast-RADIUS - Juillet 2024

Malgré tout, cette attaque semble assez difficile à mettre en œuvre. Bien que ceci puisse être optimisé avec du matériel plus puissant (un GPU, par exemple), cette attaque nécessite entre 3 et 6 minutes, ce qui est généralement supérieur au timeout des configurations RADIUS. De plus, cette attaque étant en ligne, via un man-in-the-middle, l'attaquant doit être "réactif".

Qui est affecté par l'attaque Blast-RADIUS ? Comment se protéger ?

Cette vulnérabilité étant présente dans le protocole RADIUS en lui-même, elle affecte toutes les implémentations de ce protocole, en fonction de la configuration utilisée. À ce sujet, les chercheurs précisent : "Blast-RADIUS est une vulnérabilité de protocole, et affecte donc toutes les implémentations RADIUS utilisant des méthodes d'authentification non-EAP sur UDP."

Pour se protéger, il est nécessaire de configurer le serveur RADIUS d'une certaine façon : il n'y a pas de correctif à installer. En environnement Microsoft, sa mise en œuvre peut être associée à l'installation d'un serveur NPS puisqu'il s'agit du rôle sur Windows Server permettant de déployer un serveur RADIUS.

Microsoft a d'ailleurs mis en ligne un guide pour vous expliquer comment configurer un serveur NPS pour vous protéger de la vulnérabilité CVE-2024-3596. Il référence également les ID d'événements à surveiller, car pouvant être liés à l'exploitation de cette vulnérabilité. Ces événements ont été ajoutés par la nouvelle mise à jour cumulative pour Windows Server.

Une autre façon de se protéger de cette attaque, c'est d'utiliser RADIUS over TLS (RADSEC) lorsque cela est possible. De plus, il convient d'isoler les flux entre les clients RADIUS (périphérique pour relayer la demande d'authentification RADIUS) et le serveur RADIUS en lui-même afin d'éviter que l'attaquant puisse se positionner en tant que man-in-the-middle.

Pour approfondir le sujet, consultez le site dédié à Blast-RADIUS ainsi que cet article très complet proposé par Cloudflare.

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.