中間者攻撃によりRADIUSの認証応答を偽造される脆弱性

RADIUSクライアント機能に、中間者攻撃によって認証応答が偽造される可能性があります。

報告日

2024/09/19

該当状況

次の機種およびバージョンが影響を受けます。

機種 バージョン
SA-W2 2.00 - 5.41
SA-W2L 4.00 - 5.41
SA-W2S 5.00 - 5.41

RADIUSプロトコルの脆弱性により、以下のRADIUS使用機能は中間者攻撃によって認証応答が偽造される可能性があります。

  • リモートアクセスサーバのユーザ認証のRADIUS認証機能(認証方式にeap-radiusを使用する場合は該当しない)

  • MACアドレス認証機能

EAPプロトコルを使用する以下の機能は該当しません。

  • WLANインタフェースのRADIUS認証機能

SA-Wシリーズにおける対応

本脆弱性への対策は、RADIUSメッセージの送受信に Message-Authenticator属性を要求することが有効です。 該当する機能を使用する場合は、下記以上のファームウェアに更新し、Message-Authenticator属性を必須とするように設定することを推奨します。

機種 バージョン
SA-W2 5.42
SA-W2L 5.42
SA-W2S 5.42

RADIUS通信においてMessage-Authenticator属性を要求するには、それぞれ以下の設定が必要です。

PPPACインタフェース

interface.pppac[].authentication.[].radius.request.message-authenticator: enable
interface.pppac[].authentication.[].radius.response.message-authenticator: required

MACアドレス認証

admission-control.mac-address.[].radius.message-authenticator: required

これらの設定を使用すると Message-Authenticator に対応していないRADIUSクライアントとは認証の通信が失敗します。ご注意ください。

設定による回避

なし (ファームウェアの更新と設定の変更が必要)

関連情報