Eine kritische Schwachstelle im Remote Authentication Dial-In User Service (RADIUS)-Protokoll wurde offengelegt, die mehrere Cisco-Produkte betrifft.

Die Schwachstelle mit der Kennung CVE-2024-3596 ermöglicht es einem Angreifer, gefälschte RADIUS-Antworten zu erstellen, was potenziell zu unbefugtem Zugriff auf Netzwerkressourcen führen kann. Diese Schwachstelle könnte zahlreiche Cisco-Produkte und Cloud-Dienste betreffen.

Bekannt als „Blast-RADIUS“, wurde die Schwachstelle am 7. Juli 2024 von einem Team von Sicherheitsforschern der UC San Diego und deren Partnern veröffentlicht. Sie nutzt einen grundlegenden Fehler in der Verwendung von MD5 zur Antwortauthentifizierung im RADIUS-Protokoll aus.

Ein Angreifer kann einen gezielten Präfix-Kollisionsangriff verwenden, um jede gültige RADIUS-Antwort (Access-Accept, Access-Reject oder Access-Challenge) in eine andere Antwort seiner Wahl zu ändern, ohne das gemeinsam genutzte Geheimnis zwischen dem RADIUS-Client und dem Server zu kennen.

Auswirkungen auf Cisco-Produkte

Das Product Security Incident Response Team (PSIRT) von Cisco untersucht derzeit, welche Produkte und Dienste betroffen sein könnten. Bis zum 24. Juli 2024 hat Cisco mehrere anfällige Produkte in verschiedenen Kategorien identifiziert:

Netzwerk- und Inhaltssicherheitsgeräte:

  • Adaptive Security Appliance (ASA)
  • Firepower Device Manager (FDM)
  • Identity Services Engine (ISE)
  • Secure Email Gateway
  • Secure Firewall

Netzwerkmanagement und -bereitstellung:

  • Application Policy Infrastructure Controller (APIC)
  • Crosswork Change Automation
  • Nexus Dashboard

Routing und Switching:

  • ASR 5000 Series Routers
  • Catalyst SD-WAN Controller
  • IOS XE Software
  • IOS XR
  • Nexus 3000, 7000 und 9000 Series Switches

Unified Computing:

  • UCS Central Software
  • UCS Manager

Cisco hat zudem bestätigt, dass einige Produkte nicht anfällig sind, darunter bestimmte drahtlose Zugangspunkte, DNA Spaces Connector und UCS B-Series Blade Server.

Das Unternehmen fordert seine Kunden auf, sich über die laufenden Untersuchungen und mögliche Auswirkungen auf ihre Netzwerke zu informieren. Derzeit gibt es keine Abhilfemaßnahmen für diese Schwachstelle.

Das Cisco PSIRT hat die Verfügbarkeit von Proof-of-Concept-Exploit-Code für diese Schwachstelle anerkannt, ist jedoch nicht über böswillige Nutzung in der freien Wildbahn informiert.

Die Schwachstelle ist nicht auf Cisco-Produkte beschränkt. Andere Anbieter, darunter Microsoft, RedHat und Juniper Networks, untersuchen ebenfalls die Auswirkungen auf ihre Produkte. Die weitverbreitete Nutzung von RADIUS in Netzwerken und Cloud-Diensten macht diese Schwachstelle zu einer erheblichen Bedrohung für die gesamte Branche.

Minderung und Empfehlungen

Cisco empfiehlt Kunden, die RADIUS zur Authentifizierung verwenden, folgende Maßnahmen zu ergreifen, um ihre Netzwerke zu schützen:

  • Verwendung von TLS oder DTLS-Verschlüsselung: RADIUS-Clients und -Server, die für die Verwendung von DTLS oder TLS über TCP konfiguriert sind, sind nicht anfällig, vorausgesetzt, der Datenverkehr wird nicht im Klartext gesendet.
  • Netzwerkisolierung: Isolieren Sie RADIUS-Ressourcen von unzuverlässigen Quellen durch die Verwendung sicherer VPN-Tunnel und Netzwerksegmentierung.
  • Software-Updates: Überprüfen Sie regelmäßig auf Software-Updates und wenden Sie Patches an, sobald sie verfügbar sind.

Netzwerkadministratoren wird dringend geraten, ihre RADIUS-Konfigurationen zu überprüfen und die empfohlenen Maßnahmen anzuwenden, um ihre Systeme zu schützen.