Onderzoeker Guido Vranken heeft via fuzzing 11 kwetsbaarheden in FreeRADIUS gevonden, ongeveer net zoveel beveiligingslekken als in de afgelopen tien jaar in de software werden ontdekt. FreeRADIUS is de meest gebruikte RADIUS-server in de wereld. RADIUS (Remote Authentication Dial In User Service) is een AAA (authenticatie, autorisatie en accounting) systeem waar grote internetproviders, telecombedrijven, Fortune 500-bedrijven en andere organisaties gebruik van maken om gebruikers toegang tot netwerken of netwerkdiensten te geven.
Vranken had eerder al via fuzzing kwetsbaarheden in OpenVPN gevonden. Een probleem in OpenVPN bleek ook in FreeRADIUS aanwezig te zijn, wat Vranken vervolgens rapporteerde. Daarop vroegen de ontwikkelaars van FreeRADIUS aan Vranken om hun software te fuzzen. Fuzzing is een populaire manier voor het vinden van bugs en kwetsbaarheden in software. Hierbij wordt een programma of een stuk software met allerlei datastromen bestookt, wat vervolgens tot crashes of fouten kan leiden. Die crashes kunnen vervolgens op onbekende beveiligingslekken wijzen.
Via zijn fuzzer ontdekte Vranken 11 kwetsbaarheden die tot een denial of service en in twee gevallen ook tot het uitvoeren van willekeurige code konden leiden. Volgens de FreeRADIUS-ontwikkelaars zijn RADIUS-servers op een privénetwerk die alleen door beheerde apparaten toegankelijk zijn waarschijnlijk veilig. In het geval de RADIUS-server onderdeel van een 'roaming consortium' is, dan kan die door alle gebruikers van dit consortium worden aangevallen. "Als je RADIUS-server aan het publieke internet hangt, dan volg je niet de best practices en kan iedereen je systeem aanvallen", aldus de ontwikkelaars.
Gezien de omvang van de kwetsbaarheden laten de ontwikkelaars zich ook uit over de veiligheidsaspecten van het programmeren in C. "C is als het om security gaat een verschrikkelijke taal", zo laten ze weten. De ontwikkelaars wijzen erop dat ze de afgelopen jaren allerlei maatregelen hebben genomen om de veiligheid van hun code te verbeteren. "Zoals de resultaten laten zien waren die processen niet voldoende om voor veilige C-code te zorgen." Daarom gaan de ontwikkelaars een fuzzer in alle toekomstige versies van FreeRADIUS integreren. De problemen die Vranken ontdekte zijn verholpen in versies 2.2.10 en 3.0.15 van de software.
Deze posting is gelocked. Reageren is niet meer mogelijk.