Sicherheitslücke CVE-2024-3596 im RADIUS-Protokoll

Jüngst wurde eine kritische Sicherheitslücke im RADIUS-Protokoll bekannt gegeben: CVE-2024-3596. Diese Schwachstelle ermöglicht es Angreifern, gültige Antworten wie Access-Accept, Access-Reject oder Access-Challenge zu fälschen, indem sie eine gewählte Präfix-Kollisionsattacke gegen die MD5-Response-Authenticator-Signatur durchführen.

Diese Schwachstelle betrifft alle RADIUS-Clients und -Server, die das Protokoll gemäß RFC 2865 verwenden. Besonders gefährdet sind Systeme, die CHAP oder PAP für die Authentifizierung nutzen, da diese Protokolle keine Transport Layer Security (TLS) bieten.

Empfehlungen zur Behebung der Schwachstelle

Fortinet:

1. Verwendung von RADSEC: Fortinet empfiehlt, RADIUS über TLS (RADSEC) zu verwenden, um die Integrität und Sicherheit der RADIUS-Kommunikation zu gewährleisten. Dies wird ab FortiOS Version 7.4.0 und FortiAuthenticator Version 6.2.0 unterstützt.
2. Aktualisierung der Produkte: Fortinet hat Updates für betroffene Produkte bereitgestellt. Es wird empfohlen, auf die neuesten Versionen zu aktualisieren, die die Schwachstelle beheben.
3. Validierung des Message-Authenticator-Attributs: FortiGate wird die Validierung des Message-Authenticator-Attributs erzwingen und RADIUS-Antworten mit unbekannten Proxy-State-Attributen ablehnen.

Microsoft:

1. Aktivierung des Message-Authenticator-Attributs: Microsoft empfiehlt, das Message-Authenticator-Attribut in allen Access-Request-Paketen zu setzen und zu validieren.
2. Verifizierung der RADIUS-Antwortpakete: Es wird empfohlen, die Validierung des Message-Authenticator-Attributs in RADIUS-Antwortpaketen wie Access-Accept, Access-Reject und Access-Challenge zu erzwingen.
3. Konfiguration von Proxy-State-Attributen: Microsoft schlägt vor, Access-Request-Pakete mit Proxy-State-Attributen ohne Message-Authenticator-Attribut abzulehnen.

HPE:

1. Aktivierung des Message-Authenticator-Attributs: HPE empfiehlt, das Message-Authenticator-Attribut in allen RADIUS-Kommunikationen zu aktivieren und zu validieren.
2. Verwendung von EAP-TLS oder RADSEC: Es wird empfohlen, EAP-TLS oder RADSEC zu verwenden, um die Sicherheit der Authentifizierung zu erhöhen.
3. Einschränkung der Management-Schnittstellen: HPE schlägt vor, die web-basierten Management-Schnittstellen auf ein dediziertes Layer-2-Segment/VLAN zu beschränken und/oder durch Firewall-Richtlinien auf Layer 3 und höher zu kontrollieren.

Extreme Networks:

1. Verwendung von RADSEC: Extreme Networks empfiehlt, RADIUS über TLS (RADSEC) zu verwenden, um die Integrität und Sicherheit der RADIUS-Kommunikation zu gewährleisten.
2. Aktualisierung der Produkte: Es wird empfohlen, alle betroffenen Produkte auf die neuesten Versionen zu aktualisieren, die Sicherheitsupdates zur Behebung der Schwachstelle enthalten.
3. Einsatz von EAP-TLS: Die Verwendung von Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) wird empfohlen, da dieses Protokoll die Schwachstelle nicht aufweist.

HPE Aruba:

1. Aktivierung des Message-Authenticator-Attributs: HPE Aruba empfiehlt, das Message-Authenticator-Attribut in allen RADIUS-Kommunikationen zu aktivieren und zu validieren.
2. Verwendung von EAP-TLS oder RADSEC: Es wird empfohlen, EAP-TLS oder RADSEC zu verwenden, um die Sicherheit der Authentifizierung zu erhöhen.
3. Einschränkung der Management-Schnittstellen: HPE Aruba schlägt vor, die web-basierten Management-Schnittstellen auf ein dediziertes Layer-2-Segment/VLAN zu beschränken und/oder durch Firewall-Richtlinien auf Layer 3 und höher zu kontrollieren.

Nutanix:

1. Aktualisierung der Software: Nutanix empfiehlt, alle betroffenen Produkte auf die neuesten Versionen zu aktualisieren, die Sicherheitsupdates zur Behebung der Schwachstelle enthalten.
2. Verwendung von RADSEC: Nutanix rät zur Nutzung von RADIUS über TLS (RADSEC), um die Integrität und Sicherheit der RADIUS-Kommunikation zu gewährleisten.

Lenovo:

1. Aktualisierung der Software: Lenovo empfiehlt, alle betroffenen Produkte auf die neuesten Versionen zu aktualisieren, die Sicherheitsupdates zur Behebung der Schwachstelle enthalten.
2. Verwendung von EAP-TLS oder RADSEC: Lenovo rät zur Nutzung von EAP-TLS oder RADSEC, um die Integrität und Sicherheit der RADIUS-Kommunikation zu gewährleisten.

IBM:

1. Aktivierung des Message-Authenticator-Attributs: IBM empfiehlt, das Message-Authenticator-Attribut in allen RADIUS-Kommunikationen zu aktivieren und zu validieren.
2. Verwendung von TLS oder DTLS: IBM rät zur Nutzung von TLS (oder DTLS), um die Integrität und Sicherheit der RADIUS-Kommunikation zu gewährleisten.

Citrix:

1. Aktualisierung der Software: Citrix empfiehlt, alle betroffenen Produkte auf die neuesten Versionen zu aktualisieren, die Sicherheitsupdates zur Behebung der Schwachstelle enthalten.
2. Verwendung von RADSEC: Citrix rät zur Nutzung von RADIUS über TLS (RADSEC), um die Integrität und Sicherheit der RADIUS-Kommunikation zu gewährleisten.

Bei Fragen zur korrekten Behebung der Schwachstelle stehen Ihnen die Expert:innen bei enthus gerne zur Verfügung. Kontaktieren Sie uns für weitere Informationen und Unterstützung unter hallo@enthus.de oder wenden Sie sich direkt an die Ihnen bekannten Ansprechpartner:innen unseres Hauses.