Palo Alto Networks · Pan-Os · CVE-2024-3596
Nome do software vulnerável e versões afetadas:
Protocolo RADIUS (versões afetadas não especificadas)
FreeRadius (versões afetadas não especificadas)
Palo Alto Networks PAN-OS (versões afetadas não especificadas)
eduMFA anterior à versão 2.2.0
Descrição:
O protocolo RADIUS, conforme a RFC 2865, é suscetível a ataques de falsificação por um invasor local, que pode modificar qualquer resposta válida (Access-Accept, Access-Reject ou Access-Challenge) para qualquer outra resposta, utilizando um ataque de colisão de prefixo escolhido contra a assinatura do autenticador de resposta MD5. Essa vulnerabilidade permite que um invasor realize um ataque man-in-the-middle entre um cliente e um servidor RADIUS para contornar a autenticação e escalar privilégios. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado. Não há informações sobre incidentes reais em que essa vulnerabilidade tenha sido explorada.
Recomendações:
Para o Protocolo RADIUS: Atualize o protocolo para usar um método de autenticação seguro, como um código de autenticação de mensagem com hash (HMAC) ou uma assinatura digital.
Para o FreeRadius: Atualize para uma versão que inclua uma correção para essa vulnerabilidade.
Para o Palo Alto Networks PAN-OS: atualize o perfil do servidor RADIUS para usar um protocolo de autenticação seguro, como o TLS, e certifique-se de que o CHAP ou o PAP não sejam usados, a menos que encapsulados por um túnel criptografado.
Para o eduMFA: atualize para a versão 2.2.0 ou posterior.
Como solução alternativa temporária, considere restringir o acesso ao servidor RADIUS e limitar o uso de protocolos vulneráveis, como o CHAP ou