Los investigadores de seguridad cibernética han expuesto una vulnerabilidad en el protocolo RADIUS, denominada BlastRADIUS. Si bien no hay evidencia de que los actores de amenazas la estén explotando activamente, el equipo solicita que se actualicen todos los servidores RADIUS. ¿Qué es el protocolo RADIUS? RADIUS, o Remote Authentication Dial-In User Service, es un protocolo de red que proporciona autenticación, autorización y contabilidad centralizadas para los usuarios que se conectan a un servicio de red. Es ampliamente utilizado por proveedores de servicios de Internet y empresas para conmutadores, enrutadores, servidores de acceso, firewalls y productos VPN. ¿Qué es un ataque BlastRADIUS? Un ataque BlastRADIUS implica que el atacante intercepte el tráfico de red entre un cliente, como un enrutador, y el servidor RADIUS. Luego, el atacante debe manipular el algoritmo hash MD5 de modo que un paquete de red de acceso denegado se lea como acceso aceptado. Ahora, el atacante puede obtener acceso al dispositivo cliente sin las credenciales de inicio de sesión correctas. Aunque es bien sabido que MD5 tiene debilidades que permiten a los atacantes generar colisiones o invertir el hash, los investigadores afirman que el ataque BlastRADIUS «es más complejo que simplemente aplicar un antiguo ataque de colisión MD5» y más avanzado en términos de velocidad y escala. Esta es la primera vez que se ha demostrado prácticamente un ataque MD5 contra el protocolo RADIUS. ¿Quién descubrió la vulnerabilidad BlastFLARE? Un equipo de investigadores de la Universidad de Boston, Cloudflare, BastionZero, Microsoft Research, Centrum Wiskunde & Informatica y la Universidad de California en San Diego descubrió por primera vez la vulnerabilidad BlastRADIUS en febrero y notificó a Alan DeKok, director ejecutivo de InkBridge Networks y experto en RADIUS. La falla BlastRADIUS, ahora rastreada como CVE-2024-3596 y VU#456537, se debe a una «falla de diseño fundamental del protocolo RADIUS», según un anuncio de seguridad del servidor RADIUS FreeRADIUS, mantenido por DeKok. Por lo tanto, no se limita a un solo producto o proveedor. Español:VER: Cómo usar FreeRADIUS para la autenticación SSH “Los técnicos de red tendrán que instalar una actualización de firmware y reconfigurar esencialmente cada conmutador, enrutador, GGSN, BNG y concentrador VPN en todo el mundo”, dijo DeKok en un comunicado de prensa. “Esperamos ver mucha conversación y actividad relacionada con la seguridad RADIUS en las próximas semanas”. ¿Quién se ve afectado por la falla de BlastRADIUS? Los investigadores descubrieron que las implementaciones de RADIUS que usan PAP, CHAP, MS-CHAP y RADIUS/UDP a través de Internet se verán afectadas por la falla de BlastRADIUS. Esto significa que los ISP, los proveedores de identidad en la nube, las compañías de telecomunicaciones y las empresas con redes internas están en riesgo y deben tomar medidas rápidas, especialmente si se usa RADIUS para inicios de sesión de administrador. Las personas que usan Internet desde casa no son directamente vulnerables, pero dependen de que su ISP resuelva la falla de BlastRADIUS, o de lo contrario su tráfico podría dirigirse a un sistema bajo el control del atacante. Las empresas que utilizan protocolos PSEC, TLS o 802.1X, así como servicios como eduroam u OpenRoaming, se consideran seguras. Cobertura de seguridad de lectura obligada ¿Cómo funciona un ataque BlastRADIUS? La explotación de la vulnerabilidad aprovecha un ataque de intermediario en el proceso de autenticación RADIUS. Se basa en el hecho de que, en el protocolo RADIUS, algunos paquetes de solicitud de acceso no están autenticados y carecen de comprobaciones de integridad. Un atacante comenzará por intentar iniciar sesión en el cliente con credenciales incorrectas, lo que generará un mensaje de solicitud de acceso que se envía al servidor. El mensaje se envía con un valor de 16 bytes llamado autenticador de solicitud, generado a través del hash MD5. El autenticador de solicitud está destinado a ser utilizado por el servidor destinatario para calcular su respuesta junto con un llamado «secreto compartido» que solo conocen el cliente y el servidor. Entonces, cuando el cliente recibe la respuesta, puede descifrar el paquete utilizando su autenticador de solicitud y el secreto compartido, y verificar que fue enviado por el servidor de confianza. Pero, en un ataque BlastRADIUS, el atacante intercepta y manipula el mensaje de solicitud de acceso antes de que llegue al servidor en un ataque de colisión MD5. El atacante agrega datos «basura» al mensaje de solicitud de acceso, lo que garantiza que la respuesta de acceso denegado del servidor también incluya estos datos. Luego, manipula esta respuesta de acceso denegado de modo que el cliente la lea como un mensaje de aceptación de acceso válido, lo que le otorga acceso no autorizado. Descripción general del ataque BlastRADIUS. Imagen: Cloudflare Los investigadores de Cloudflare realizaron el ataque en dispositivos RADIUS con un período de tiempo de espera de cinco minutos. Sin embargo, existe la posibilidad de que los atacantes con recursos informáticos sofisticados lo realicen en un tiempo significativamente menor, potencialmente entre 30 y 60 segundos, que es el período de tiempo de espera predeterminado para muchos dispositivos RADIUS. «La clave del ataque es que, en muchos casos, los paquetes de solicitud de acceso no tienen verificación de autenticación o integridad», se lee en la documentación de InkBridge Networks. “Un atacante puede entonces realizar un ataque de prefijo elegido, que permite modificar la solicitud de acceso para reemplazar una respuesta válida con una elegida por el atacante. “Aunque la respuesta está autenticada y se verifica su integridad, la vulnerabilidad del prefijo elegido permite al atacante modificar el paquete de respuesta, casi a voluntad”. Puede leer una descripción técnica completa y una prueba de concepto de un ataque BlastRADIUS en este PDF. ¿Qué tan fácil es para un atacante explotar la vulnerabilidad BlastRADIUS? Si bien la falla BlastRADIUS es generalizada, explotarla no es trivial; el atacante debe poder leer, interceptar, bloquear y modificar los paquetes de red entrantes y salientes, y no hay ningún exploit disponible públicamente al que pueda referirse. El atacante también debe tener acceso a la red existente, que podría adquirirse aprovechando una organización que envía RADIUS/UDP a través de Internet abierta o comprometiendo parte de la red empresarial. “Incluso si el tráfico RADIUS se limita a una parte protegida de una red interna, los errores de configuración o enrutamiento pueden exponer involuntariamente este tráfico”, dijeron los investigadores en un sitio web dedicado a BlastRADIUS. “Un atacante con acceso parcial a la red puede ser capaz de explotar DHCP u otros mecanismos para hacer que los dispositivos de la víctima envíen tráfico fuera de una VPN dedicada”. Además, el atacante debe estar bien financiado, ya que se requiere una cantidad significativa de potencia de computación en la nube para llevar a cabo cada ataque BlastRADIUS. InkBridge Networks afirma en sus preguntas frecuentes sobre BlastRADIUS que tales costos serían una “gota de agua en el océano para los estados-nación que desean apuntar a usuarios particulares”. Cómo pueden protegerse las organizaciones de un ataque BlastRADIUS Los investigadores de seguridad han proporcionado las siguientes recomendaciones para las organizaciones que utilizan el protocolo RADIUS: Instale las últimas actualizaciones en todos los clientes y servidores RADIUS puestos a disposición por el proveedor. Se han implementado parches para garantizar que los atributos Message-Authenticator siempre se envíen y sean necesarios para las solicitudes y respuestas. Hay una versión actualizada de FreeRADIUS. No intente actualizar todos los equipos RADIUS a la vez, ya que podrían cometerse errores. Lo ideal es concentrarse primero en actualizar los servidores RADIUS. Considere utilizar las herramientas de verificación de InkBridge Networks que evalúan la exposición de un sistema a BlastRADIUS y otros problemas de infraestructura de red. Puede encontrar instrucciones más detalladas para administradores de sistemas en el sitio web de FreeRADIUS.
Etiqueta: Radio
La Bolsa de Valores de Nueva York da la bienvenida a los ejecutivos e invitados de Audacy (NYSE: AUD), hoy, viernes 9 de abril de 2021, para celebrar el reciente cambio de marca de la empresa. NYSEAudacy, el gigante de la radio y los podcasts, dijo el domingo que presentó planes para el Capítulo 11 protección por bancarrota en Texas para reducir su deuda. El acuerdo de reestructuración permitirá a Audacy reducir su carga total de deuda en un 80% a alrededor de $350 millones desde alrededor de $1.9 mil millones, dijo la compañía. «En los últimos años, hemos transformado estratégicamente a Audacy en una empresa líder de entretenimiento y contenidos de audio multiplataforma», dijo en un comunicado David Field, director general de Audacy. Sin embargo, añadió Field, «la tormenta perfecta» de los últimos cuatro años de desafíos macroeconómicos «que enfrenta el mercado publicitario tradicional » condujo a una fuerte reducción del gasto en publicidad de radio. «Estos factores de mercado han impactado gravemente nuestra situación financiera y han requerido la reestructuración de nuestro balance», dijo Field. La compañía con sede en Filadelfia posee cientos de estaciones de radio y es una de las principales emisoras de radio. En Estados Unidos, Audacy es propietaria de WFAN Sports Radio, 1010 WINS de Nueva York y KCBS.
Source link