Уязвимость в протоколе RADIUS раскрывает сети для MitM-атак

Уязвимость в протоколе RADIUS раскрывает сети для MitM-атак

Уязвимость в протоколе RADIUS раскрывает сети для MitM-атак

Специалисты по кибербезопасности выявили уязвимость в сетевом протоколе удалённой аутентификации — RADIUS. Получившая имя BlastRADIUS брешь может использоваться в атаках вида Mallory-in-the-middle (MitM) для обхода проверки целостности.

В официальном уведомлении проекта FreeRADIUS по поводу уязвимости говорится следующее:

«Протокол RADIUS пропускает отдельные сообщения вида “доступ-запрос“ без проверки целостности или аутентификации. Такая реализация приводит к тому. что условный атакующий может незаметно модифицировать эти пакеты».

«Кроме того, злоумышленник может заставить жертву пройти аутентификацию и предоставить ему права».

Как известно, безопасность RADIUS опирается на хеш, полученный с помощью алгоритма MD5, который уже лет 15 не считается надёжным. На деле это значит, что пакеты «доступ-запрос» уязвимы для атаки по выбранному префиксу.

Киберпреступник с помощью этой дыры может изменить пакет таким образом, что он пройдёт все проверки целостности. Тем не менее для успешной атаки злоумышленнику потребуется получить возможность модифицировать пакеты при передаче между клиентом и сервером RADIUS.

 

Таким образом, BlastRADIUS является результатом фундаментальной уязвимости в самом принципе разработки, поэтому затрагивает всех RADIUS-клиентов, совместимых со стандартами. Интернет-провайдерам и организациям, использующим этот протокол, нужно обновиться до последней версии.

«Наиболее уязвимыми здесь являются методы аутентификации PAP, CHAP и MS-CHAPv2», — объясняют исследователи.

Уязвимость получила 9 баллов по шкале CVSS.

Банки Беларуси с 1 июля будут собирать геолокацию клиентов

С 1 июля банки в Беларуси обязаны использовать антифрод-системы и собирать цифровой отпечаток устройств клиентов. В этот набор данных войдут модель устройства, версия ПО, параметры браузера, настройки системы и геолокация.

О новых требованиях сообщает БЕЛТА со ссылкой на Национальный банк Беларуси. Регулятор утвердил стандарт «Банковская деятельность. Обеспечение информационной безопасности. Цифровой отпечаток устройства».

Логика простая: если мошенник украл пароль, это еще не значит, что он сможет спокойно войти в онлайн-банк и вывести деньги. При первом входе клиента в систему дистанционного обслуживания банк формирует эталонный цифровой отпечаток устройства.

Если позже кто-то попытается войти с другого устройства, с подозрительными параметрами или подмененной геолокацией, антифрод-система должна заметить несоответствие и остановить операцию.

Доступ в таком случае будет заблокирован до подтверждения со стороны клиента. При этом количество устройств не ограничено: у пользователя может быть несколько эталонных отпечатков, например для смартфона, ноутбука и планшета.

Отдельно подчеркивается, что банки должны не просто уведомить клиентов о сборе геолокации, но и получить их разрешение. Собранные данные будут храниться в зашифрованном виде, не передаваться третьим лицам и использоваться только для антифрод-проверок при входе в банковские сервисы.

По сути, белорусские банки переходят к более жесткой проверке не только того, кто вводит пароль, но и откуда, с какого устройства и в каких условиях это происходит. Для клиентов это может добавить лишний шаг подтверждения, зато мошенникам станет заметно сложнее выдавать свой вход за обычную активность владельца счета.

RSS: Новости на портале Anti-Malware.ru