Aggiornamenti recenti Marzo 18th, 2024 2:00 PM
Giu 01, 2017 Marco Schiaffino News, RSS, Vulnerabilità 0
Il protocollo RADIUS (Remote Authentication Dial-In User Service) è utilizzato da aziende e Internet Provider per gestire l’autenticazione all’interno delle reti. Uno dei software più diffusi utilizzati per questo scopo è FreeRADIUS Server, un progetto Open Source che fornisce tutto il necessario per la gestione delle autenticazioni in ambiente Windows e Linux.
Con il rilascio della nuova versione 3.0.14, gli sviluppatori della suite hanno reso pubblica una vulnerabilità (CVE-2017-9148) che mette a rischio l’intero sistema di autenticazione.
Come spiega Pavel Kankovsky nel suo report, il problema si annida nel sistema di gestione delle connessioni TLS e in particolare in una funzione che prevede una “corsia preferenziale” nel ripristino del collegamento nel caso si verifichi un’interruzione, per esempio quando il client passa da una cella a un’altra.
In questa situazione, infatti, FreeRADIUS non chiede nuovamente l’autenticazione interna. Il problema, però, è che questo avviene anche quando l’autenticazione non è ancora stata completata.
Insomma: un pirata informatico potrebbe provocare l’interruzione ad arte per ottenere l’accesso senza avere credenziali valide.
I ricercatori consigliano naturalmente di aggiornare il software alla nuova versione 3.0.14 e, nel frattempo, consigliano di mitigare il rischio di attacchi disabilitando la funzione di caching delle connessioni TLS.
Lug 22, 2020 0
Dic 14, 2017 0
Feb 09, 2017 0
Mar 18, 2024 0
Mar 18, 2024 0
Mar 15, 2024 0
Mar 15, 2024 0
Mar 15, 2024 0
Dopo alcuni mesi dalla sua scoperta, Tomer Peled,...Mar 15, 2024 0
Sempre più aziende stanno scegliendo Kubernetes (K8s) per...Mar 13, 2024 0
Negli ultimi anni il ruolo del CISO (Chief Information...Feb 29, 2024 0
Secondo la ricerca “Connecting the future of...Feb 28, 2024 0
Secondo l’ultimo sondaggio di Check Point, fornitore...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Mar 18, 2024 0
F.A.C.C.T, agenzia russa di cybersecurity, ha denunciato...Mar 18, 2024 0
Il team di SonicWall Capture Labs ha scoperto di recente...Mar 15, 2024 0
Dopo alcuni mesi dalla sua scoperta, Tomer Peled,...Mar 14, 2024 0
I ricercatori di FortiGuard Labs hanno scoperto una...Mar 14, 2024 0
I ricercatori di SaltSecurity hanno individuato due...