Numéro : AL24-009
Date : 9 juillet 2024
Auditoire
La présente alerte s’adresse aux professionnelles et professionnels et aux gestionnaires des TI.
Objet
Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection et d’atténuation. Le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) est en mesure d’offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.
Détails
Le Centre pour la cybersécurité est au courant d’une recherche menée dans l’industrieNote de bas de page 1Note de bas de page 2 par rapport à une vulnérabilité récente touchant le protocole RADIUS (CVE-2024-3596), un protocole réseau d’authentification, d’autorisation et de traçabilité courant utilisé pour la gestion des accès réseau. La vulnérabilité pourrait permettre à une auteure ou un auteur de menace de s’authentifier dans le système d’une victime ou d’empêcher des utilisatrices ou utilisateurs légitimes de s’authentifier.
RADIUS est un protocole d’authentification allégé populaire utilisé pour des périphériques réseau. On fait largement appel à celui-ci pour authentifier tant les utilisatrices et utilisateurs que les périphériques. Le protocole est pris en charge à grande échelle par des périphériques réseau en passant par des commutateurs de réseau simples jusqu’à des solutions RPV plus complexes. RADIUS a été adopté pour la plupart des services infonuagiques qui offrent aux ressources un contrôle d’accès basé sur les rôles à niveaux. En tant que protocole client-serveur, RADIUS fait appel à un modèle requête-réponse pour vérifier les requêtes d’authentification et fournir tout accès basé sur les rôles utilisant des groupes. Il peut aussi servir de mandataire pour prendre en charge des services d’accès à l’itinérance multilocataires.
Cette vulnérabilité est causée par le manque d’authentification et de validation de l’intégrité associé au protocole RADIUS. Une ou un adversaire pourrait exploiter le MD5 de hachage cryptographique et falsifier des réponses d’authentification à partir d’un serveur RADIUS.
En date du 9 juillet 2024, il n’y aurait selon le Centre pour la cybersécurité aucune exploitation de cette vulnérabilité.
Une auteure ou un auteur de menace qui voudrait exploiter cette vulnérabilité aurait besoin de voir et de modifier l’accès aux paquets RADIUS en transit (attaque par interception). Toute communication RADIUS non chiffrée, plus particulièrement RADIUS par UDP et RADIUS par TCP, serait vulnérable.
La présente alerte est publiée pour accroître la sensibilisation à cette vulnérabilité, mettre en lumière les possibles répercussions qu’elles pourraient avoir sur les organisations et fournir des conseils aux organisations susceptibles d’être ciblées par ces activités malveillantes.
Mise à jour 1
16 août 2024 - Le Centre pour la cybersécurité a révisé cette alerte afin de mieux l'harmoniser avec les recommandations de l'industrie.
Mesures recommandées
Le Centre pour la cybersécurité recommande fortement de prendre les mesures suivantes :
- s’assurer auprès des fournisseurs que des correctifs sont disponibles pour la mise en œuvre du protocole RADIUS utilisé dans un environnement donné et veiller à ce que tous les systèmes applicables soient corrigés;
- configurer les clients et les serveurs RADIUS de manière à toujours envoyer et valider les attributs de l’authentificateur de messages pour toutes les demandes et réponses, comme s’ils avaient recours au protocole EAP (Extensible Authentication Protocol);
- utiliser RADIUS dans un canal chiffré et authentifié;
- faire appel à RADIUS/TLS ou à RADIUS/DTLS;
- envisager de mettre en tunnel le trafic RADIUS au moyen du protocole IPsec ou MACsec, dans la mesure du possibleNote de bas de page 3;
- bloquer tout le trafic RADIUS/UDP et RADIUS/TCP des interfaces connectées à Internet;
- ne pas envoyer de trafic non sécurisé par un réseau local ou un réseau Internet;
- mettre en œuvre des règles de pare-feu pour empêcher la transmission non autorisée de paquets RADIUS à des segments non intentionnels de réseau;
- bloquer le port UDP 1645 ou 1812 pour l’authentification et le port UDP 1646 ou 1813 pour la comptabilisation au pare-feu périmétrique;
- assurer la sécurité physique de tous les périphériques réseau en mettant en œuvre des mesures visant à empêcher un accès physique non autorisé à des périphériques réseau et au câblage d’infrastructure.
De plus, le Centre pour la cybersécurité recommande fortement aux organisations de mettre en œuvre les 10 mesures de sécurité des TINote de bas de page 4 du Centre pour la cybersécurité, en particulier celles liées aux sujets suivants :
- intégrer, surveiller et défendre les passerelles Internet;
- appliquer des correctifs aux applications et aux systèmes d’exploitation;
- renforcer les systèmes d’exploitation et les applications;
- segmenter et séparer l’informationNote de bas de page 5.
Le Centre pour la cybersécurité tient à souligner qu’il est possible que l’atténuation de problèmes, de systèmes ou de serveurs individuels ne suffise pas à atténuer une compromission de systèmes orchestrée par des auteures et auteurs de menace hautement qualifiés. Le Centre pour la cybersécurité recommande aux clientes et clients touchés de passer en revue son bulletin de cybersécurité conjoint sur les approches techniques à la détection et à l’atténuation des activités malveillantesNote de bas de page 6.
Si les destinataires relèvent des activités semblables aux informations fournies dans la présente alerte, elles et ils sont invités à le signaler par l’entremise de Mon cyberportail ou par courriel à contact@cyber.gc.ca.
Ressources additionelles
- Sécurisez vos comptes et vos appareils avec une authentification multifacteur (ITSAP.30.030)
- Guide sur l’authentification des utilisateurs dans les systèmes de technologie de l’information (ITSP.30.031 v3)
- La sécurité du Wi-Fi (ITSP.80.002)
- Contrôles de cybersécurité de base pour les petites et moyennes organisations
- Algorithmes cryptographiques pour l’information NON CLASSIFIÉ, PROTÉGÉ A et PROTÉGÉ B - ITSP.40.111
- Produits obsolètes - ITSAP.00.095