Kritischer Radius-Designfehler gefährdet nahezu alle Netzwerke
Quelle: Depositphotos

Kritischer Radius-Designfehler gefährdet nahezu alle Netzwerke

Sicherheitsexperten haben einen Desigfehler im Netzwerkprotokoll Radius gefunden, der potenziell gravierende Angriffe erlaubt. Einen Patch gibt es nicht. Dafür aber immerhin etwas Entwarnung.
10. Juli 2024

     

Das in vielen Netzwerken zum Einsatz kommende Authentifizierungsprotokoll Radius weist einen wesentlichen Designfehler auf. Dieser soll kriminellen Akteuren "BlastRADIUS" getaufte Man-in-the-middle-Angriffe erlauben. Und die Protokollschwachstelle besteht bereits seit Jahren, wie Experten vom Sicherheitsunternehmen Inkbridge Networks in einem Paper erklären.

Das Radius-Protokoll wurde Ende der 90er Jahre entwickelt und kommt seitdem in "quasi jedem" Switch, Access Point, Router und VPN-Konzentrator der vergangenen 20 Jahre zum Einsatz, schreiben die Forscher. All diese Geräte sind daher potenziell gefährdet.


Bei der gefundenen Schwachstelle handelt es sich nicht etwa um eine klassische Sicherheitslücke, die sich einfach mit einem Patch schliessen lässt, sondern um einen grundlegenden Designfehler des Protokolls. Eine Lösung ist daher vorerst nicht in Sicht. "In Anbetracht der anderen Sicherheits- und Datenschutzbedenken in Bezug auf den Rest von Radius wäre es an dieser Stelle besser, das gesamte Protokoll oder den Transport neu zu gestalten", schlussfolgern die Sicherheitsexperten.

Zwar gibt es laut Inkbridge einen nicht öffentlichen Proof of concept für einen Exploit, gleichzeitig geben die Forscher aber auch etwas Entwarnung: "Selbst wenn es jemandem gelänge, die Sicherheitslücke nachzubauen, ist ein erfolgreicher Angriff kostspielig. Es kann eine erhebliche Menge an Cloud-Computing-Leistung erfordern, um den Angriff erfolgreich durchzuführen. Der Aufwand fällt auch pro Paket an und kann nicht automatisch auf viele Pakete angewendet werden. Wenn ein Angreifer 100 Angriffe durchführen will, muss er die 100-fache Rechenleistung einsetzen." Für staatliche Akteure stellt das wiederum nur bedingt ein Hindernis dar. (sta)


Weitere Artikel zum Thema

Microsoft schliesst zum Patchday knapp 140 Sicherheitslücken

10. Juli 2024 - Microsoft hat zum Juli-Patchday fast 140 Sicherheitslücken in Windows 11, Windows 10 und Windows Server geschlossen. Fünf davon stuft der Anbieter als kritisch ein – vier werden bereits aktiv angegriffen.

ChatGPT-App auf MacOS speicherte Verlauf in Klartext

4. Juli 2024 - Die neue ChatGPT-App für MacOS wies einen Sicherheitsmangel auf, wodurch Unterhaltungen in Klartext gespeichert wurden. Mittlerweile hat ein Update diese Lücke beseitigt.

Google lässt KI-Stromverbrauch aus Klimabericht weg

3. Juli 2024 - Im aktuellen Nachhaltigkeitsbericht von Google klafft eine entscheidende Lücke: Der durch KI gestiegene Stromverbrauch wird nicht genau beziffert. Stattdessen lässt man sich lieber über die Potenziale von KI zum Klimaschutz aus.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Was für Schuhe trug der gestiefelte Kater?
GOLD SPONSOREN
SPONSOREN & PARTNER