SecEvery - Vulnerability Warning
2024-07-10
RADIUS 协议是用于远程用户认证和授权的网络协议,广泛用于网络访问的场景,例如Wi\-Fi、VPN、以及网络设备管理等。 受影响版本中,由于 RADIUS 的认证响应验证使用了不安全加密的验证方法,具有本地网络访问权限的攻击者可以在传输 RADIUS 协议的网络中进行中间人攻击。当不强制使用 Message\-Authenticator 属性时,攻击者可以伪造基于 UDP 的 RADIUS 响应数据包,将任何有效的响应(例如“访问接受”、“访问拒绝”或“访问质询”)篡改为其他响应。 仅执行 RFC 3579 中指定的可扩展身份验证协议 \(EAP\) 的 RADIUS 服务器不受该漏洞影响。