Importanti Vulnerabilità su tecnologie di Autenticazione basate su FreeRADIUS

Proto: N110517. 

Con la presente Yoroi desidera informarLa riguardo al rilevamento di un’importante vulnerabilità all’interno del noto servizio di gestione di account ed autenticazioni FreeRADIUS. Questa tecnologia è aperta al pubblico e può essere utilizzata da Vendor e System Integrator terzi all’interno di soluzioni per la gestione delle autenticazioni alla rete di accesso, ad esempio, ma non limitato a, rete Wireless o rete LAN (802.1X). In accordo con le statistiche pubblicate dal Produttore, i server FreeRADIUS risultano tipicamente diffusi in organizzazioni di dimensioni inferiori alle 100,000 unità. La criticità è nota con l’identificativo CVE-2017-9148 ed è stata confermata all’interno delle note di sicurezza del Prodotto.

La problematica permettere ad un attaccante locale non autenticato di bypassare i controlli di autenticazione ed accedere abusivamente alle risorse protette dal protocollo RADIUS, tipicamente utilizzato per assolvere alle funzionalità di AAA (authentication, authorization, accounting). Risulta infatti possibile sfruttare lacune implementative dei protocolli basati su EAP-TLS i quali, non gestendo correttamente eventuali connessioni TLS resuscitate, autorizzano la richiesta di connessione a prescindere dalla validità dell’autenticazione.

In accordo alle informazioni rilasciate dal Produttore, risultano afflitte dalla problematica le seguenti versioni di FreeRADIUS:

  • Versioni 1.0.x, 1.1.x, 2.0.x, 2.1.x, e 2.2.x non più supportate ma tuttavia non vulnerabili con le configurazioni TLS di default.
  • Versioni 3.x , disponibile aggiornamento alla versione 3.0.14 che risolve la criticità

Yoroi consiglia di verificare eventuali installazioni contenenti tecnologia FreeRadius all’interno delle vostre organizzazioni ed applicare gli aggiornamenti di sicurezza indicati. Qualora non fosse possibile applicare le patch utili a risolvere la problematica è possibile operare mitigazioni mirate al fine di disabilitare la componente del servizio afflitta dalla criticità:

  • Disabilitare le funzionalità di TLS session caching all’interno del modulo EAP, “enabled=no” all’interno dell’apposita sotto-sezione delle configurazioni (raddb/mods-enabled/eap).

Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia inoltre di mantenere alto il livello di consapevolezza dei vostri utenti, avvisandoli periodicamente delle minacce in corso e di l’utilizzare di un team di esperti per salvaguardare la sicurezza del perimetro “cyber”.
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index