Aggiornamenti recenti Luglio 29th, 2025 8:34 PM
Giu 01, 2017 Marco Schiaffino News, RSS, Vulnerabilità 0
Il protocollo RADIUS (Remote Authentication Dial-In User Service) è utilizzato da aziende e Internet Provider per gestire l’autenticazione all’interno delle reti. Uno dei software più diffusi utilizzati per questo scopo è FreeRADIUS Server, un progetto Open Source che fornisce tutto il necessario per la gestione delle autenticazioni in ambiente Windows e Linux.
Con il rilascio della nuova versione 3.0.14, gli sviluppatori della suite hanno reso pubblica una vulnerabilità (CVE-2017-9148) che mette a rischio l’intero sistema di autenticazione.
Come spiega Pavel Kankovsky nel suo report, il problema si annida nel sistema di gestione delle connessioni TLS e in particolare in una funzione che prevede una “corsia preferenziale” nel ripristino del collegamento nel caso si verifichi un’interruzione, per esempio quando il client passa da una cella a un’altra.
FreeRADIUS è un software rodatissimo e gli aggiornamenti legati a vulnerabilità sono piuttosto rari. Questa volta, però, nell’elenco delle feature compare un CVE.
In questa situazione, infatti, FreeRADIUS non chiede nuovamente l’autenticazione interna. Il problema, però, è che questo avviene anche quando l’autenticazione non è ancora stata completata.
Insomma: un pirata informatico potrebbe provocare l’interruzione ad arte per ottenere l’accesso senza avere credenziali valide.
I ricercatori consigliano naturalmente di aggiornare il software alla nuova versione 3.0.14 e, nel frattempo, consigliano di mitigare il rischio di attacchi disabilitando la funzione di caching delle connessioni TLS.
Lug 22, 2020 0
Dic 14, 2017 0
Feb 09, 2017 0
Lug 29, 2025 0
Lug 29, 2025 0
Lug 28, 2025 0
Lug 28, 2025 0
Lug 29, 2025 0
Tra le minacce più recenti che stanno facendo tremare il...Lug 17, 2025 0
Gli attacchi DDoS, compresi quelli ipervolumetrici,...Lug 08, 2025 0
In una recente analisi, Group-IB ha approfondito il ruolo...Lug 03, 2025 0
Recentemente il team Satori Threat Intelligence di HUMAN ha...Giu 09, 2025 0
La cybersecurity sta acquisendo sempre più importanza tra...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Lug 29, 2025 0
I gruppi di cyberspionaggio legati alla Cina stanno...Lug 28, 2025 0
La scorsa settimana Google ha annunciato OSS Rebuild,...Lug 28, 2025 0
Negli ultimi sette giorni, il panorama delle minacce...Lug 25, 2025 0
I ricercatori di Prodaft, compagnia di cybersecurity, hanno...Lug 25, 2025 0
Un nuovo studio condotto da Harmonic Security rivela uno...