Mitigasi BlastRADIUS (CVE-2024-3596) di Mikrotik

Pada pertengahan 2024 diumumkan BlastRADIUS (CVE-2024-3596) — kerentanan pada protokol RADIUS itu sendiri, bukan pada satu produk tertentu. Karena hampir semua ISP dan RT/RW Net memakai RADIUS untuk autentikasi PPPoE dan Hotspot, ada baiknya operator memahami apa risikonya dan apakah setup Anda perlu ditambal.

Apa itu BlastRADIUS

RADIUS (RFC 2865) lahir di era ketika integritas pesan diandalkan pada hash MD5. BlastRADIUS memanfaatkan kelemahan ini: penyerang yang berada di jalur antara NAS (router) dan server RADIUS dapat melakukan serangan MD5 chosen-prefix collision untuk memalsukan respons. Dalam skenario terburuk, sebuah Access-Reject bisa diubah menjadi Access-Accept — penyerang lolos autentikasi tanpa kredensial yang sah.

Yang perlu digarisbawahi: serangan ini mengincar trafik RADIUS antara router dan server, bukan password WiFi pelanggan. Jadi yang berisiko adalah jalur UDP 1812/1813 Anda, terutama bila melewati jaringan yang tidak tepercaya (misalnya RADIUS server di cloud, NAS di lokasi lain, lewat internet publik tanpa tunnel).

Apakah saya terdampak?

Anda perlu perhatian khusus bila:

• Trafik RADIUS Anda melintasi internet publik atau jaringan pihak ketiga.
• NAS (Mikrotik) dan server RADIUS tidak berada di segmen tepercaya yang sama.

Risiko lebih rendah bila router dan server RADIUS berada di LAN/VPN tepercaya yang sama — tapi mitigasi tetap dianjurkan sebagai pertahanan berlapis.

Mitigasi: Message-Authenticator wajib

Solusi yang disepakati industri adalah mewajibkan atribut Message-Authenticator (atribut 80) pada paket RADIUS. Atribut ini memakai HMAC-MD5 yang melindungi integritas seluruh paket, sehingga upaya pemalsuan berbasis collision di atas tidak lagi berhasil. Baik sisi NAS maupun sisi server sebaiknya mengirim dan mewajibkan atribut ini.

Di sisi Mikrotik (RouterOS)

Pastikan RouterOS Anda cukup baru untuk mendukung mitigasi ini:

• RouterOS v7.15 ke atas, atau
• RouterOS v6.49.18 (rilis long-term) ke atas.

Versi tersebut menambahkan dukungan require-message-authenticator pada konfigurasi RADIUS client. Aktifkan agar router menolak respons RADIUS yang tidak menyertakan Message-Authenticator yang valid:

/radius set [find] require-message-authenticator=yes

Aktifkan ini setelah memastikan server RADIUS Anda juga mengirim Message-Authenticator. Kalau tidak, router akan menolak semua respons dan seluruh pelanggan gagal autentikasi.

Di sisi server RADIUS

Server harus menyertakan Message-Authenticator pada balasannya dan, idealnya, mewajibkannya pada request. Kalau Anda mengelola FreeRADIUS sendiri, ini berarti upgrade ke versi yang sudah ditambal dan menyesuaikan kebijakan. Kalau Anda memakai platform terkelola seperti indoradius, mitigasi ini sudah ditangani di sisi server — Anda cukup memastikan RouterOS berada di versi yang didukung.

Langkah praktis untuk operator

1. Cek versi RouterOS Anda: /system resource print. Bila di bawah v7.15 / v6.49.18, jadwalkan upgrade.
2. Pastikan server RADIUS mendukung dan mengirim Message-Authenticator.
3. Aktifkan require-message-authenticator=yes di router — sesudah kedua sisi siap.
4. Pertahankan jalur RADIUS tetap privat bila memungkinkan (VPN/tunnel antar lokasi), sebagai pertahanan tambahan.

Penutup

BlastRADIUS bukan alasan untuk panik, tapi alasan bagus untuk memastikan RADIUS Anda mutakhir. Untuk memahami pondasi setup RADIUS-nya lebih dulu, lihat Cara Setting RADIUS Server di Mikrotik untuk PPPoE.

Di indoradius, mitigasi BlastRADIUS sudah aktif di sisi server dan kami mendukung RouterOS v7.15 maupun v6.49.18 long-term. Coba gratis 14 hari.