Breaking News
เอาเครื่องเก่ามาแลก แล้วรับเงินคืนไปเลย!!

พบบั๊ก Bypass การยืนยันตัวยตนบน FreeRADIUS Server เตือนผู้ดูแลระบบอัปเดตด่วน

Stefan Winter แห่ง RESTENA Foundation และ Luboš Pavlíček แห่ง University of Economics, Prague ต่างได้ค้นพบช่องโหว่บน FreeRADIUS Server ที่ทำให้สามารถ Bypass การทำ TLS Resumption Authentication ได้

Credit: FreeRADIUS

 

ช่องโหว่นี้เกิดขึ้นจากการที่ FreeRADIUS ทำการข้ามขั้นตอนการยืนยันตัวตนภายในระบบในกรณีที่มีการ Resume TLS Connection ที่ส่วนของการทำ TTLS และ PEAP ทำให้ FreeRADIUS Server สามารถทำการ Resume TLS Connection ที่ยังไม่ผ่านขั้นตอนการทำ Inner Authentication ได้ โดยช่องโหว่นี้ส่งผลกระทบกับ FreeRADIUS ตั้งแต่รุ่น 2.2.x (EOL แล้ว แต่ยังมีอยู่ในบาง Linux Distro), 3.0.x (รุ่น Stable) และ 3.1.x/4.0.x รุ่นที่ออกมาก่อนวันที่ 4 กุมภาพันธ์ 2017 ทั้งหมด (รุ่น Development)

ทั้งนี้เหล่าผู้ดูแลระบบที่ใช้ FreeRADIUS อยู่นั้น ควรอัปเกรดให้กลายเป็นรุ่น 3.0.14 โดยทันที หรือหากไม่สามารถอัปเกรดได้ ให้ทำการปิด TLS Session Caching แทนด้วยการตั้งค่า enabled = no ในส่วนการตั้งค่า Cache สำหรับ EAP Module

สำหรับรายละเอียดฉบับเต็มของช่องโหว่ สามารถศึกษาได้ที่ http://seclists.org/oss-sec/2017/q2/342 และ http://freeradius.org/security.html ครับ

 

ที่มา: https://www.theregister.co.uk/2017/05/29/freeradius_exploitable_via_tls_session_caching/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Leadership Vision: วางกลยุทธ์ Work from Home อย่างมั่นคงปลอดภัย ต้องใส่ใจเรื่องการคุ้มครองข้อมูล

ในช่วงสถานการณ์ที่ไม่ปกติอย่างในขณะนี้ หลายองค์กรทั่วโลก รวมไปถึงประเทศไทย ต่างเปิดให้พนักงานสามารถทำงานจากที่บ้านหรือ Work from Home ได้ ส่งผลให้อาชญากรไซเบอร์เริ่มเปลี่ยนเป้าหมายจากการพุ่งเป้าโจมตีระบบขององค์กรมาเป็นโจมตีอุปกรณ์ปลายทางและตัวพนักงานแทน เมื่อไม่มีกลไกรักษาความมั่นคงปลอดภัยอันเข้มงวดขององค์กรคอยปกป้อง ทำให้พนักงานกลุ่มนี้ตกเป็นเหยื่อของอาชญากรไซเบอร์ได้ง่าย

CISA ออกกฎบังคับหน่วยงานรัฐบาลกลางสหรัฐ อัปเตด Windows Server อุดช่องโหว่ Netlogon ภายในวันที่ 21 ก.ย. 2002

Cybersecurity and Infrastructure Security Agency หรือ CISA ได้ออกกฎบังคับเพื่อให้หน่วยงานรัฐบาลกลางสหรัฐต้องดำเนินการอัปเดตระบบอุดช่องโหว่ Netlogon บน Microsoft Windows Server โดยด่วน รวมถึงยังแนะนำให้หน่วยงานภาคเอกชนและอื่นๆ ทำการอัปเดตให้เร็วที่สุด ลดความเสี่ยงที่ช่องโหว่นี้จะถูกใช้โจมตีจนเกิดความเสียหายเป็นวงกว้าง