Kwetsbaarheid aangetoond in RADIUS/UDP netwerkprotocol

Er zit een kwetsbaarheid in het RADIUS/UDP-protocol, dat veel wordt gebruikt voor toegangsbeheer tot netwerken en netwerkapparatuur. Dat maakte een internationaal team onderzoekers vandaag, 9 juli 2024, bekend. Het team, onder wie CWI-cryptoanalyst Marc Stevens, demonstreerde in januari al een geslaagde aanval in de praktijk maar maakte deze nog niet publiek. Sindsdien werken zij met leveranciers aan veiligere oplossingen. De kwetsbaarheid kreeg van hen de naam ‘Blast-RADIUS’. Het team zal hun resultaten officieel presenteren op het internationale 33e USENIX-Security Symposium, dat van 14-16 augustus plaatsvindt in Philadelphia, USA.

Wifi- en VPN-netwerken

RADIUS (Remote Authentication Dial-In User Service) is al ontworpen in 1991 – in het tijdperk van het inbellen op internet – maar is nog steeds een belangrijk authenticatieprotocol. Het wordt gebruikt voor toegang tot Wifi- en VPN-netwerken, en routers, switches en andere netwerkapparatuur. RADIUS-netwerkverkeer wordt doorgaans onbeveiligd getransporteerd via de zogenaamde UDP-netwerklaag, alleen beschermd door cryptografie die is gebaseerd op het verouderde MD5. Ondanks dat sinds 2004 is aangetoond dat MD5 onveilig is, is de RADIUS/UDP-standaard sinds die tijd nauwelijks veranderd.

Zeer snelle aanval op MD5

Bij netwerkapparatuur is er een korte aanmeldtime-out van hoogstens enkele minuten, waarna de aanmeldpoging wordt afgebroken. Tot nu toe duurde het ongeveer een dag om de MD5-beveiliging te breken met zogenaamde chosen-prefix aanvallen. De onderzoekers presenteren nu een verbeterde, zeer snelle aanval op MD5 van slechts enkele minuten en zij laten zien hoe daarmee ongeautoriseerde toegang via RADIUS/UDP geforceerd kan worden. Dit is mede mogelijk dankzij verbeteringen van Stevens in diens bestaande ‘Hashclash’ tool.

Het onderzoeksteam bestaat uit medewerkers van het Centrum Wiskunde & Informatica (CWI), universiteit UC San Diego, en de bedrijven Cloudflare (USA) en Microsoft Research (UK).

Migreer naar RADIUS/TLS

Marc Stevens: “Het gebruik van MD5 wordt al heel lang afgeraden. Helaas wacht men maar al te vaak tot er een concrete aanval wordt gedemonstreerd. Enkele gevaarlijke voorbeelden uit het verleden zijn een vervalste Certificaat Authoriteit (RogueCA, 2008, de ‘https-kraak’), een vervalste Windows Update (FLAME, 2012), een TLS aanval (SLOTH, 2016), en het omzeilen van Certificaatverificatie in Windows (2023). En nu ook RADIUS. De RADIUS/UDP-standaard voldoet al lang niet aan moderne cryptografische normen. We raden dan ook het gebruik van RADIUS/TLS aan, aangezien TLS sterke privacy- en securitygaranties kan geven. RADIUS/TLS past binnen de zogeheten zero-trust architecturen – het strategische beveiligingsmodel waarbij geen enkel intern netwerk als vertrouwd wordt aangemerkt. Leveranciers en netwerkbeheerders moeten dit aanpassen.”

Onderzoeksteam

Het team bestaat, op alfabetische volgorde, uit Sharon Goldberg (Cloudflare), Miro Haller (UC San Diego), Nadia Heninger (UC San Diego), Mike Milano (BastionZero, nu Cloudflare), Dan Shumow (Microsoft Research), Marc Stevens (Centrum Wiskunde & Informatica) en Adam Suhl (van de universiteit UC San Diego).

Over Marc Stevens

Marc Stevens, een cryptoanalist in de Cryptology onderzoeksgroep bij CWI, is de wereldwijde expert op het gebied van hashfuncties. Zo heeft hij eerder bijgedragen aan het blootleggen van de zwakke punten van de cryptografische hashfunctiestandaarden MD5 en SHA-1. Hij is bekend van het breken van de https-beveiliging in 2008 (MD5), de analyse van de Flame-supermalware in 2012 en het breken van de industriestandaard SHA-1 in de praktijk in 2017, die werd gebruikt voor digitale handtekeningen. In 2016 won hij de Google Security Privacy and Anti-abuse applied award van 50.000 dollar als erkenning voor zijn werk in cryptoanalyse, en in 2017 won hij samen met onderzoekers van Google de Pwnie Award voor Beste Cryptografische Aanval. In 2020 ontving Stevens samen met Xiayun Wang de Levchin Prijs voor Real-World Cryptografie voor hun 'baanbrekende werk aan de beveiliging van botsingsbestendige hashfuncties'. Daarnaast is Stevens onder meer betrokken bij het PQC-migratiehandboek van TNO, AIVD en CWI voor post-quantum cryptografie.

Meer informatie

• Blast-RADIUS website: https://www.blastradius.fail
• Publication USENIX Security
• Deze kwetsbaarheid heeft van US CERT/CC de volgende identifiers gekregen:
  - CVE 2024-3596
  - VU#456537
• Blog door het Blast-RADIUS onderzoeksteam, met uitleg (Engelstalig)
• Whitepaper Mitigatie BlastRADIUS door Alan DeKok (Network RADIUS SAS, FreeRADIUS)
• RADIUS op Wikipedia
• UDP netwerklaag op Wikipedia
• CWI Cryptology Groep
• Marc Stevens bij CWI

Oudere kwetsbaarheden door het gebruik van MD5:

• 2008 RogueCA: https://link.springer.com/chapter/10.1007/978-3-642-03356-8_4
  “Short chosen-prefix collisions for MD5 and the creation of a rogue CA certificate”, Marc Stevens, Alexander Sotirov, Jacob Appelbaum, Arjen Lenstra, David Molnar, Dag Arne Osvik, Benne de Weger. IACR Flagship conference CRYPTO 2009 (Best Paper Award).
  
• 2012 FLAME:
  - CWI cryptanalyst discovers new cryptographic attack variant in Flame spy malware
  - https://arstechnica.com/information-technology/2012/06/flame-malware-was-signed-by-rogue-microsoft-certificate/
  - “Reverse-engineering of the cryptanalytic attack used in the Flame super-malware”, Max Fillinger, and Marc Stevens, IACR Flagship conference ASIACRYPT 2015.
  
• 2016 SLOTH TLS:
  “Transcript Collision Attacks: Breaking Authentication in TLS, IKE, and SSH”, Karthikeyan Bhargavan, Gaetan Leurent. Conference NDSS’16.
  
• Windows Certificate verification
  “"Spoofing certificates with MD5 collisions - party like it's 2008”, Tomer Peled, Yoni Rozenstein, DEF CON ’31. CVE-2022-34689.
  Blog: https://cendyne.dev/posts/2023-09-01-spoofing-certificates-with-md5-collisions.html

Over MD5

MD5 is een zogenaamde cryptografische hashfunctie die veel gebruikt werd voor de beveiliging van internetcommunicatie. Hashfuncties worden gebruikt om korte “vingerafdrukken” (bestaande uit 32 tot 64 tekens) van berichten en bestanden te berekenen, en voor veiligheidsdoeleinden moet het onmogelijk zijn twee bestanden met dezelfde vingerafdruk te vinden (‘botsingen’ in jargon). De eerste botsingen voor de MD5 standaard werden in 2004 door prof. Xiaoyun Wang en anderen gedemonstreerd, en sindsdien is deze aanval veel sneller gemaakt.

In 2007 wist een team onderzoekers - met o.a. Marc Stevens (CWI), Arjen Lenstra EPFL) en Benne de Weger (TU/e) - een nog sterkere aanval op MD5 te creëren met veel meer controle over de inhoud van de botsingen. In 2008 brak een internationaal team, opnieuw met CWI-onderzoeker Marc Stevens, voor demonstratiedoeleinden zelfs de wereldwijde https-beveiliging door een toenmalige kwetsbaarheid bij een certificaatorganisatie. MD5 werd daarna bijna overal uitgefaseerd in allerlei internetstandaarden, behalve dus in de netwerkstandaard RADIUS/UDP.

Header foto: artistieke impressie van een hacker. Bron: Frank Peters/Shutterstock.com.