![퀘이사존](https://img2.quasarzone.com/editor/2024/07/10/e2fd8c691fa06acf8aff52fbbd3f54ed.webp)
보안 연구원들이 인터넷 연결과 애플리케이션을 통해 사용자를 감시할 수 있는 결함을 수십 년 된 네트워크 프로토콜에서 발견했습니다.
이 결함은 1991년에 처음 개발된 원격 인증 다이얼인 사용자 서비스(RADIUS) 프로토콜에 영향을 미칩니다. 이 프로토콜은 네트워크 서비스에 연결하는 사용자의 인증 및 권한 부여를 중앙 집중화하는 중요한 방법으로 자리 잡았습니다.
하지만 화요일에 보안 연구원 팀은 클라이언트와 서버 간의 보호된 통신에 접근할 수 있게 하는 "중간자 공격"의 길을 열 수 있는 RADIUS의 취약점을 공개했습니다. 연구원들은 여전히 RADIUS가 의존하는 구식 해싱 알고리즘인 MD5를 악용하여 필요한 자격 증명을 사실상 위조하는 방법을 발견했습니다.
“이 위조는 공격자가 비밀번호나 공유 비밀을 추측하거나 무차별 대입하지 않고도 네트워크 장치와 서비스에 접근할 수 있게 합니다. 공격자는 사용자 자격 증명을 알지 못합니다,”라고 연구원들은 위협에 대응하기 위해 만든 사이트에 적었습니다.
![퀘이사존](https://img2.quasarzone.com/editor/2024/07/10/c38765292d7aba5eba9175863c96d1dd.png)
이 결함은 'Blast-RADIUS'라는 이름으로 불리며, RADIUS 프로토콜이 인터넷 애플리케이션과 서비스에서 널리 사용되고 있기 때문에 특히 심각합니다. 여기에는 VPN, Wi-Fi 및 인터넷 서비스 제공업체(ISP)로부터의 가정용 인터넷 연결, 기업 네트워크의 스위치 및 라우터에서의 접근 인증이 포함됩니다.
해커가 네트워크에 침입하여 적어도 부분적인 접근 권한을 얻는 경우 위험이 발생합니다. 해커가 Blast-RADIUS를 성공적으로 악용하면, "부분적인 네트워크 접근 권한에서 RADIUS를 사용하여 인증하는 모든 장치에 로그인하거나 임의의 네트워크 권한을 부여할 수 있는 권한으로 상승할 수 있습니다"고 연구원들은 썼습니다.
보안 연구원들은 해커가 이 결함을 악용하는 것을 방지하기 위해 공격 작동 방법에 대한 개념 증명을 공개하지 않았습니다. RADIUS 프로토콜의 관리자인 InkBridge Networks는 또한 "이 공격을 수행하려면 상당한 양의 클라우드 컴퓨팅 파워가 필요합니다. 이 비용은 악용되는 패킷당 발생하며, 여러 패킷에 자동으로 적용될 수 없습니다. 공격자가 100번의 공격을 수행하려면 100배의 컴퓨팅 파워를 사용해야 합니다."라고 언급했습니다.
"그럼에도 불구하고, 이러한 비용은 신용 카드를 훔치는 '스크립트 키디' (아마추어 해커)들에게는 감수할 만한 비용일 수 있습니다." InkBridge는 덧붙였습니다. "이 비용은 특정 사용자를 타겟으로 삼고자 하는 국가에게는 아무것도 아닙니다."
다행히 보안 연구원들은 올해 초 이 결함을 기술 공급업체들에게 비공개로 공개했습니다. 이를 통해 InkBridge는 RADIUS의 가장 널리 사용되는 버전인 FreeRADIUS의 새 버전을 출시하여 위협에 대응할 시간을 벌었습니다.
소비자들은 이 위협을 막기 위해 할 수 있는 일이 없다고 보안 연구원들은 FAQ에서 말했습니다. 대신, 개발된 완화를 구현하는 것은 공급업체, ISP 및 회사들의 몫입니다. "이 중요한 보안 문제를 해결하기 위해서는 네트워크 기술자들이 전 세계의 모든 스위치, 라우터, GGSN, BNG 및 VPN 집약기를 펌웨어 업그레이드하고 재구성해야 합니다."라고 InkBridge Networks의 CEO인 Alan DeKok은 말했으며, 그는 모든 공급업체가 이제 구현한 업데이트된 표준을 작성했습니다.
※ 퀘이사존 공식 기사가 아닌 해외 뉴스/기사를 번역한 것으로, 퀘이사존 견해와 주관은 포함되어 있지 않습니다. |