Begin juli werd de Blast!RADIUS kwetsbaarheid gecommuniceerd. Technisch contactpersonen van organisaties die bij govroam zijn aangesloten ontvingen meteen uitgebreide informatie via ons nieuwe TechBulletin. De kwetsbaarheid vereist dat de hacker zich fysiek in hetzelfde netwerk bevindt en vervolgens door middel van een andere ‘hack’ (ARP-poisening van de switch) het RADIUS-verkeer naar zich toetrekt. Dat maakt de kans al erg klein dat de hack productief is, ook omdat deze (vooralsnog) veel rekenkracht vraagt. Lukt het wel, dan is de hacker in staat om het RADIUS-verkeer ongemerkt te manipuleren. Dat kan als gevolg hebben dat de hacker zichzelf toegang geeft tot afgeschermde delen van het netwerk of zelfs tot de beheerinterfaces van netwerkapparatuur
Potentieel risico
Elk netwerk waarin een RADIUS-server een rol speelt, loopt potentieel risico. Ook als govroam hier niet op is aangesloten. Uitleg en mitigerende maatregelen zijn te vinden via de de site van Blast!RADIUS, en meer details op de site van een van de ontdekkers, Alan deKok. Het webinar van de ontdekkers (tevens gerenommeerde experts van RADIUS en netwerken), is terug te vinden via de BlastRADIUS Information Sessions.
De belangrijkste mitigatie is: update uw apparatuur (ten overvloede: na testen op een acceptatie-omgeving). Voor alle gangbare RADIUS-servermerken zijn updates beschikbaar die de kwetsbaarheid kunnen verhelpen. Zoals u van ons mag verwachten waren de govroam-RADIUS-servers reeds gepatcht bij bekendmaking van het nieuws van 9 juli.
Later zijn nog misverstanden ontstaan over deze kwetsbaarheid, die door de mede-ontdekker ontkracht worden. Een belangrijk misverstand is dat het nu onveilig zou zijn om internet te gebruiken voor eduroam of govroam verbindingen. Oftewel: moeten we nu allemaal IPSEC VPN gaan gebruiken om de RADIUS-verbinding te versleutelen? Het korte antwoord is: nee. Het uitgebreide antwoord is te vinden via deze link.
Voor vragen over dit onderwerp kunt u terecht bij tech@govroam.nl.