Comprensión y fortificación de RADIUS frente a ataques de colisión MD5

Resumen ejecutivo

El protocolo RADIUS, pilar de la autenticación de redes empresariales desde 1991, presenta una vulnerabilidad crítica y, en la actualidad, prácticamente explotable. Revelado en julio de 2024 bajo el código CVE-2024-3596 y denominado 'Blast-RADIUS', este fallo permite a un atacante man-in-the-middle (MitM) situado entre un cliente y un servidor RADIUS falsificar una aprobación de autenticación válida (convirtiendo un 'Access-Reject' legítimo en un 'Access-Accept') sin necesidad de conocer la contraseña del usuario ni el secreto compartido de RADIUS. El ataque aprovecha técnicas de colisión de prefijos elegidos de MD5 que, con hardware moderno, pueden ejecutarse en cuestión de minutos.

Para los operadores de recintos y los equipos de TI empresariales, el riesgo comercial es directo: un atacante que obtenga acceso no autorizado a la red puede moverse lateralmente por la infraestructura, acceder a los sistemas de punto de venta, extraer datos de los invitados y provocar infracciones de cumplimiento normativo de PCI DSS y GDPR. Toda organización que ejecute RADIUS/UDP con modos de autenticación PAP, CHAP o MS-CHAP está expuesta hasta que se apliquen parches y se planifiquen cambios arquitectónicos. La mitigación inmediata (imponer el atributo Message-Authenticator en todo el tráfico RADIUS) es un cambio de configuración de bajo impacto disponible en los principales proveedores. La respuesta estratégica es una migración por fases a EAP-TLS y RADIUS sobre TLS (RADSEC).

Análisis técnico en profundidad

El protocolo RADIUS y su herencia criptográfica

RADIUS (Remote Authentication Dial-In User Service), estandarizado en el RFC 2865, se diseñó en una época en la que los requisitos de seguridad de red eran fundamentalmente distintos. El protocolo opera sobre UDP y utiliza un secreto compartido entre el cliente RADIUS (normalmente un punto de acceso o un servidor de acceso a la red) y el servidor RADIUS para proporcionar cierto grado de integridad en los mensajes. En concreto, las respuestas del servidor se 'autentican' mediante una estructura denominada Response Authenticator (Autenticador de respuesta), que se calcula de la siguiente manera:

MD5(Code || ID || Length || RequestAuthenticator || Attributes || SharedSecret)

Esta estructura nunca fue un código de autenticación de mensajes (MAC) adecuado. Es anterior a HMAC, que se estandarizó en 1997 precisamente para abordar las debilidades de los MAC basados en hash sin procesar. La especificación RADIUS no se actualizó cuando se introdujo HMAC, ni cuando se demostraron por primera vez las colisiones MD5 en 2004. Esta deuda arquitectónica se ha convertido ahora en una vulnerabilidad crítica.

Mecánica del ataque Blast-RADIUS

El ataque Blast-RADIUS (CVE-2024-3596) combina tres elementos: una vulnerabilidad a nivel de protocolo en la forma en que RADIUS construye su Response Authenticator, una técnica de colisión de prefijos elegidos de MD5 y mejoras significativas en la velocidad de cálculo de colisiones que hacen que el ataque sea viable en un escenario de intercepción de red en tiempo real.

El ataque se desarrolla de la siguiente manera. Un atacante MitM intercepta un paquete Access-Request enviado desde el cliente RADIUS al servidor. El atacante inyecta un atributo malicioso en esta solicitud: una carga útil cuidadosamente diseñada que provocará una colisión entre el hash MD5 de la respuesta legítima del servidor y el hash MD5 de la respuesta falsificada deseada por el atacante. Cuando el servidor devuelve un Access-Reject (una autenticación fallida), el atacante utiliza la colisión precalculada para falsificar un paquete Access-Accept válido, que incluye un Response Authenticator que el cliente RADIUS aceptará como genuino. El atacante no necesita conocer el secreto compartido ni las credenciales del usuario.

Investigadores de la Universidad de Boston, UC San Diego, CWI Ámsterdam y Microsoft demostraron que, con algoritmos optimizados, la colisión de prefijos elegidos de MD5 necesaria para este ataque puede calcularse en menos de cinco minutos con hardware comercial. Esto hace que el ataque sea operativamente viable para un adversario decidido con acceso a la ruta de red entre el cliente y el servidor RADIUS.

Modos de autenticación afectados

La vulnerabilidad afecta a todas las implementaciones de RADIUS/UDP que utilizan métodos de autenticación que no son EAP. La siguiente tabla resume la exposición por modo de autenticación:

La distinción fundamental es que los métodos basados en EAP establecen su propio túnel criptográfico para la autenticación, que no depende del Response Authenticator MD5. Esto los hace inmunes al vector de ataque específico de Blast-RADIUS.

Por qué la segmentación de VLAN no es suficiente

Un error común es pensar que aislar el tráfico RADIUS en una VLAN de gestión dedicada proporciona una protección adecuada. Aunque la segmentación de la red es una buena práctica de seguridad, no elimina el riesgo de Blast-RADIUS. Un atacante que ya haya comprometido un dispositivo en la red de gestión (mediante un ataque de phishing, un compromiso de la cadena de suministro o la explotación de otra vulnerabilidad) puede posicionarse como MitM en la ruta del tráfico RADIUS. El ataque solo requiere acceso a la ruta de red, no acceso externo a Internet. La segmentación reduce la superficie de ataque, pero no elimina la debilidad criptográfica subyacente.

Guía de implementación

Fase 1: Fortificación inmediata (Semanas 1-2)

La primera prioridad es aplicar los parches de los proveedores para el CVE-2024-3596 en toda la infraestructura RADIUS. Todos los principales proveedores (incluidos Cisco ISE, Microsoft NPS, FreeRADIUS, Juniper, Aruba y Ruckus) han publicado actualizaciones. Junto con la aplicación de parches, el cambio de configuración crítico consiste en imponer el atributo Message-Authenticator en todos los clientes y servidores RADIUS.

El atributo Message-Authenticator (definido en el RFC 2869) proporciona una comprobación de integridad HMAC-MD5 sobre todo el paquete RADIUS. A diferencia del Response Authenticator, esta estructura no es vulnerable al ataque de colisión de prefijos elegidos porque la estructura HMAC vincula el hash al secreto compartido de forma que impide al atacante crear una falsificación válida. Configurar los clientes y servidores para que exijan este atributo (y rechacen cualquier mensaje que no lo incluya) cierra el vector de ataque inmediato.

Para FreeRADIUS, esto implica establecer require_message_authenticator = yes en el archivo clients.conf. Para Microsoft NPS, la política equivalente se aplica a través de la configuración de la Política de red. Para Cisco ISE, la configuración está disponible en la configuración del cliente RADIUS, en la política de autenticación. Consulte el aviso específico de su proveedor sobre el CVE-2024-3596 para conocer los pasos de configuración exactos.

Fase 2: Modernización de la autenticación (Meses 1-3)

El objetivo a medio plazo es migrar la autenticación WiFi de los modos PAP/CHAP heredados a métodos basados en EAP. Para entornos WiFi empresariales, la ruta recomendada es WPA3-Enterprise con EAP-TLS. Esto requiere implementar una infraestructura de clave pública (PKI) para emitir certificados de dispositivos y/o usuarios, configurar el servidor RADIUS para validar estos certificados y aprovisionar los dispositivos cliente con los certificados adecuados y los anclajes de confianza del servidor RADIUS.

Para entornos en los que la implementación de certificados es compleja (como recintos con alta rotación de dispositivos o políticas BYOD), PEAP con MSCHAPv2 proporciona un paso intermedio aceptable, siempre que los clientes estén configurados para validar el certificado del servidor RADIUS. Sin la validación del certificado del servidor, PEAP es vulnerable a ataques de puntos de acceso no autorizados. El control de acceso basado en puertos IEEE 802.1X debe implementarse simultáneamente en la infraestructura cableada para garantizar una política de autenticación coherente en toda la red.

Fase 3: Seguridad de la capa de transporte (Meses 3-12)

El objetivo arquitectónico a largo plazo es encapsular todo el tráfico RADIUS dentro de un túnel TLS utilizando RADIUS sobre TLS (RADSEC), estandarizado en el RFC 6614. RADSEC sustituye UDP por TCP y envuelve toda la sesión RADIUS en una conexión TLS mutuamente autenticada. Esto proporciona confidencialidad, integridad y protección contra repeticiones para todo el tráfico de autenticación, lo que hace que el Response Authenticator MD5 sea irrelevante, ya que la propia capa de transporte es criptográficamente segura.

RADSEC es especialmente valioso en implementaciones distribuidas (como cadenas hoteleras, redes minoristas o entornos de estadios) donde el tráfico RADIUS puede atravesar segmentos de red intermedios. El IETF está avanzando actualmente para que RADIUS sobre TLS y DTLS alcancen el estatus de estándar, lo que refleja el consenso de la industria de que RADIUS/UDP debería quedar obsoleto para implementaciones sensibles.

Mejores prácticas

Las siguientes mejores prácticas, independientes del proveedor, reflejan los estándares actuales de la industria y las directrices normativas para la seguridad de la autenticación WiFi empresarial.

Imponer Message-Authenticator de forma universal. Todos los clientes y servidores RADIUS de su entorno deben estar configurados para enviar y exigir el atributo Message-Authenticator. Esta es la acción de mayor impacto y menor interrupción disponible en la actualidad. Según las directrices del equipo de investigación de Blast-RADIUS, este atributo debe aparecer como el primer atributo en las respuestas Access-Accept y Access-Reject.

Adoptar EAP-TLS como estándar de autenticación. IEEE 802.1X con EAP-TLS proporciona una autenticación mutua basada en certificados que es inmune a la clase de ataque Blast-RADIUS y se alinea con las recomendaciones del NIST SP 800-120 para métodos EAP en el acceso a redes inalámbricas. WPA3-Enterprise exige el modo de seguridad de 192 bits con EAP-TLS para el nivel de seguridad más alto.

Rotar los secretos compartidos de RADIUS con regularidad. Aunque el ataque Blast-RADIUS no requiere conocer el secreto compartido, el uso de secretos compartidos seguros y únicos (mínimo 32 caracteres, generados aleatoriamente) reduce el riesgo de otras clases de ataques. Los secretos deben rotarse al menos una vez al año y de forma inmediata ante cualquier sospecha de compromiso.

Implementar la contabilidad de RADIUS y la supervisión de anomalías. Los registros de contabilidad de RADIUS proporcionan un rastro de auditoría de los eventos de autenticación. La supervisión de patrones anómalos (como autenticaciones exitosas desde tipos de dispositivos inesperados, direcciones MAC o en horarios inusuales) puede proporcionar una alerta temprana de explotación. Integre la contabilidad de RADIUS con su SIEM para generar alertas automatizadas.

Segmentar el tráfico RADIUS. Aunque no es una mitigación completa, ubicar el tráfico RADIUS en una VLAN de gestión dedicada con ACL estrictas reduce la cantidad de dispositivos que podrían utilizarse como punto de pivote MitM. Combínelo con el control de acceso a la red para garantizar que solo los dispositivos autorizados puedan llegar al servidor RADIUS.

Alinearse con los requisitos de PCI DSS. El requisito 8.6 de PCI DSS v4.0 exige una autenticación sólida para todas las cuentas. El requisito 1.3 exige controles de segmentación de red. Las organizaciones que procesan datos de tarjetas de pago deben garantizar que su arquitectura de autenticación WiFi cumpla estos requisitos, y la vulnerabilidad Blast-RADIUS afecta directamente a la postura de cumplimiento normativo de cualquier segmento de red dentro del alcance.

Solución de problemas y mitigación de riesgos

Modos de fallo comunes durante la fortificación

El problema más frecuente al imponer Message-Authenticator es la incompatibilidad de dispositivos heredados. Es posible que los puntos de acceso, conmutadores o concentradores VPN más antiguos no admitan el atributo, lo que provoca fallos de autenticación después de configurar el servidor para que lo exija. El enfoque recomendado es auditar todos los clientes RADIUS antes de imponer el requisito en el lado del servidor, y mantener una lista de los dispositivos que requieren actualizaciones de firmware o su sustitución.

Un segundo problema común son los fallos de validación de certificados durante la migración a EAP-TLS. Si los dispositivos cliente no están aprovisionados con el anclaje de confianza correcto del certificado del servidor RADIUS, rechazarán el certificado del servidor y la autenticación fallará. Esto es especialmente frecuente en entornos BYOD. La implementación de una solución de gestión de dispositivos móviles (MDM) para distribuir perfiles de certificados es la solución estándar.

Pueden producirse discrepancias en los secretos compartidos durante la migración a RADSEC si el nombre común (Common Name) del certificado TLS no coincide con el identificador de cliente esperado. Asegúrese de que los nombres de sujeto de los certificados sean coherentes con las direcciones IP o los nombres de host de los clientes RADIUS configurados en el servidor.

Mitigación de riesgos para entornos que no pueden aplicar parches de inmediato

Para los entornos en los que no es factible aplicar parches de inmediato (como los sistemas de control industrial heredados o los dispositivos de red integrados), el riesgo puede mitigarse parcialmente implementando controles estrictos de acceso a la red que limiten qué hosts pueden comunicarse con el servidor RADIUS, reduciendo así la oportunidad de que un atacante MitM intercepte el tráfico. Esta es solo una medida temporal; debe establecerse una hoja de ruta para la aplicación de parches y la sustitución.

ROI e impacto comercial

Cuantificación del riesgo

El caso de negocio para la fortificación de RADIUS es claro cuando se plantea en términos de costes de brechas de seguridad y responsabilidad de cumplimiento normativo. Un exploit exitoso de Blast-RADIUS en un entorno hotelero o minorista podría proporcionar a un atacante acceso a la red corporativa, alcanzando potencialmente sistemas de punto de venta, repositorios de datos de invitados e infraestructura administrativa. El coste medio de una brecha de datos en el sector de la hostelería supera los 3 millones de libras esterlinas, según los puntos de referencia del sector, y las multas reglamentarias en virtud del GDPR pueden sumar hasta el 4 % de la facturación anual global.

Para las organizaciones dentro del alcance de PCI DSS, un fallo de autenticación de red que provoque la exposición de los datos de los titulares de tarjetas puede desencadenar investigaciones forenses obligatorias, multas de las marcas de tarjetas y la posible pérdida de los privilegios de procesamiento de tarjetas, costes que superan con creces la inversión necesaria para implementar EAP-TLS y RADSEC.

Puntos de referencia de costes de implementación

La siguiente tabla proporciona estimaciones indicativas de costes y esfuerzo para la hoja de ruta de fortificación de tres fases en entornos de recintos típicos:

Beneficios operativos más allá de la seguridad

La migración a EAP-TLS y RADSEC ofrece beneficios operativos que van más allá de la fortificación de la seguridad. La autenticación basada en certificados elimina la carga operativa de gestionar y rotar contraseñas compartidas en grandes flotas de dispositivos. WPA3-Enterprise mejora la fiabilidad de la conexión en entornos densos, un beneficio cuantificable para estadios y centros de conferencias donde cientos de dispositivos compiten por la autenticación. El transporte TCP de RADSEC también proporciona una mayor fiabilidad que UDP en condiciones de red con alta latencia o pérdida de paquetes, lo que mejora la experiencia de autenticación para los usuarios finales.