Alerte - Protocole RADIUS vulnérable à des attaques par falsification

Auditoire

La présente alerte s’adresse aux professionnelles et professionnels et aux gestionnaires des TI.

Objet

Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection et d’atténuation. Le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) est en mesure d’offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.

Détails

Le Centre pour la cybersécurité est au courant d’une recherche menée dans l’industrie^{Note de bas de page 1Note de bas de page 2} par rapport à une vulnérabilité récente touchant le protocole RADIUS (CVE-2024-3596), un protocole réseau d’authentification, d’autorisation et de traçabilité courant utilisé pour la gestion des accès réseau. La vulnérabilité pourrait permettre à une auteure ou un auteur de menace de s’authentifier dans le système d’une victime ou d’empêcher des utilisatrices ou utilisateurs légitimes de s’authentifier.

RADIUS est un protocole d’authentification allégé populaire utilisé pour des périphériques réseau. On fait largement appel à celui-ci pour authentifier tant les utilisatrices et utilisateurs que les périphériques. Le protocole est pris en charge à grande échelle par des périphériques réseau en passant par des commutateurs de réseau simples jusqu’à des solutions RPV plus complexes. RADIUS a été adopté pour la plupart des services infonuagiques qui offrent aux ressources un contrôle d’accès basé sur les rôles à niveaux. En tant que protocole client-serveur, RADIUS fait appel à un modèle requête-réponse pour vérifier les requêtes d’authentification et fournir tout accès basé sur les rôles utilisant des groupes. Il peut aussi servir de mandataire pour prendre en charge des services d’accès à l’itinérance multilocataires.

Cette vulnérabilité est causée par le manque d’authentification et de validation de l’intégrité associé au protocole RADIUS. Une ou un adversaire pourrait exploiter le MD5 de hachage cryptographique et falsifier des réponses d’authentification à partir d’un serveur RADIUS.

En date du 9 juillet 2024, il n’y aurait selon le Centre pour la cybersécurité aucune exploitation de cette vulnérabilité.

Une auteure ou un auteur de menace qui voudrait exploiter cette vulnérabilité aurait besoin de voir et de modifier l’accès aux paquets RADIUS en transit (attaque par interception). Toute communication RADIUS non chiffrée, plus particulièrement RADIUS par UDP et RADIUS par TCP, serait vulnérable.

La présente alerte est publiée pour accroître la sensibilisation à cette vulnérabilité, mettre en lumière les possibles répercussions qu’elles pourraient avoir sur les organisations et fournir des conseils aux organisations susceptibles d’être ciblées par ces activités malveillantes.

Mesures recommandées

Le Centre pour la cybersécurité recommande fortement de prendre les mesures suivantes :

• s’assurer auprès des fournisseurs que des correctifs sont disponibles pour la mise en œuvre du protocole RADIUS utilisé dans un environnement donné et veiller à ce que tous les systèmes applicables soient corrigés;
• ne pas utiliser RADIUS par UDP ou RADIUS par TCP;
  • recommander l’utilisation de RADIUS/TLS ou de RADIUS/DTLS pour appliquer la confidentialité des communications;
  • s’assurer que toutes les connexions réseau sont authentifiées et chiffrées; envisager d’utiliser les protocoles IPsec, TLS ou MACsec (pour les communications de couche 2)^{Note de bas de page 3};
• bloquer tout le trafic RADIUS des interfaces connectés à Internet;
  • ne pas envoyer de trafic non sécurisé par un réseau local ou un réseau Internet;
• mettre en œuvre des règles de pare-feu pour empêcher la transmission non autorisée de paquets RADIUS à des segments non intentionnels de réseau;
  • bloquer le port UDP 1645 ou 1812 pour l’authentification et le port UDP 1646 ou 1813 pour la comptabilisation au pare-feu périmétrique;
• assurer la sécurité physique de tous les périphériques réseau en mettant en œuvre des mesures visant à empêcher un accès physique non autorisé à des périphériques réseau et au câblage d’infrastructure;
• appliquer des délais d’inactivité plus stricts lors des connexions au serveur RADIUS comme mesure additionnelle d’atténuation aux activités malveillantes;
  • cela peut également servir de paramètre de détection pour les signatures afin de détecter les tentatives d’exploitation;
• envisager des solutions de rechange au protocole RADIUS;
  • lorsque la situation le permet, le recours à l’authentification de certificat Kerberos, IPSec ou de protocoles TACACS+, selon le cas d’utilisation, est à envisager.

De plus, le Centre pour la cybersécurité recommande fortement aux organisations de mettre en œuvre les 10 mesures de sécurité des TI^{Note de bas de page 4} du Centre pour la cybersécurité, en particulier celles liées aux sujets suivants :

• intégrer, surveiller et défendre les passerelles Internet;
• appliquer des correctifs aux applications et aux systèmes d’exploitation;
• renforcer les systèmes d’exploitation et les applications;
• segmenter et séparer l’information^{Note de bas de page 5}.

Le Centre pour la cybersécurité tient à souligner qu’il est possible que l’atténuation de problèmes, de systèmes ou de serveurs individuels ne suffise pas à atténuer une compromission de systèmes orchestrée par des auteures et auteurs de menace hautement qualifiés. Le Centre pour la cybersécurité recommande aux clientes et clients touchés de passer en revue son bulletin de cybersécurité conjoint sur les approches techniques à la détection et à l’atténuation des activités malveillantes^{Note de bas de page 6}.

Si les destinataires relèvent des activités semblables aux informations fournies dans la présente alerte, elles et ils sont invités à le signaler par l’entremise de Mon cyberportail ou par courriel à contact@cyber.gc.ca.

Ressources Additionelles

• Sécurisez vos comptes et vos appareils avec une authentification multifacteur (ITSAP.30.030)
• Guide sur l’authentification des utilisateurs dans les systèmes de technologie de l’information (ITSP.30.031 v3)
• La sécurité du Wi-Fi (ITSP.80.002)
• Contrôles de cybersécurité de base pour les petites et moyennes organisations
• Algorithmes cryptographiques pour l’information NON CLASSIFIÉ, PROTÉGÉ A et PROTÉGÉ B - ITSP.40.111
• Produits obsolètes - ITSAP.00.095