中間者攻撃によりRADIUSの認証応答を偽造される脆弱性
RADIUSクライアント機能に、中間者攻撃によって認証応答が偽造される可能性があります。
- 報告日
-
2024/09/19
該当状況
次の機種およびバージョンが影響を受けます。
機種 | バージョン |
---|---|
SA-W2 | 2.00 - 5.41 |
SA-W2L | 4.00 - 5.41 |
SA-W2S | 5.00 - 5.41 |
RADIUSプロトコルの脆弱性により、以下のRADIUS使用機能は中間者攻撃によって認証応答が偽造される可能性があります。
-
リモートアクセスサーバのユーザ認証のRADIUS認証機能(認証方式にeap-radiusを使用する場合は該当しない)
-
MACアドレス認証機能
EAPプロトコルを使用する以下の機能は該当しません。
-
WLANインタフェースのRADIUS認証機能
SA-Wシリーズにおける対応
本脆弱性への対策は、RADIUSメッセージの送受信に Message-Authenticator属性を要求することが有効です。 該当する機能を使用する場合は、下記以上のファームウェアに更新し、Message-Authenticator属性を必須とするように設定することを推奨します。
機種 | バージョン |
---|---|
SA-W2 | 5.42 |
SA-W2L | 5.42 |
SA-W2S | 5.42 |
RADIUS通信においてMessage-Authenticator属性を要求するには、それぞれ以下の設定が必要です。
PPPACインタフェース
interface.pppac[].authentication.[].radius.request.message-authenticator: enable
interface.pppac[].authentication.[].radius.response.message-authenticator: required
MACアドレス認証
admission-control.mac-address.[].radius.message-authenticator: required
これらの設定を使用すると Message-Authenticator に対応していないRADIUSクライアントとは認証の通信が失敗します。ご注意ください。
設定による回避
なし (ファームウェアの更新と設定の変更が必要)