國立政治大學、國立臺北科技大學、多縣市教網中心等單位 (共 18 間) RADIUS 伺服器身分認證繞過 - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

  • ZDID: ZD-2025-00549
  •  發信 Vendor: TACERT台灣學術網路危機處理中心
  • Title: 國立政治大學、國立臺北科技大學、多縣市教網中心等單位 (共 18 間) RADIUS 伺服器身分認證繞過
  • Introduction: FreeRADIUS eap 模組中 tls 認證方法被錯誤啟用 / 未設定認證使用者憑證身分 (CN / SNI) 的值

處理狀態

目前狀態

公開
Last Update : 2025/07/25
  • 新提交
  • 已審核
  • 已通報
  • 已修補
  • 未複測
  • 公開

處理歷程

  • 2025/06/10 17:17:28 : 新提交 (由 chilin 更新此狀態)
  • 2025/06/10 17:25:07 : 新提交 (由 chilin 更新此狀態)
  • 2025/06/13 14:44:21 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2025/06/19 16:43:48 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2025/06/19 16:43:48 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2025/07/03 16:21:45 : 已修補 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2025/07/11 03:00:44 : 公開 (由 HITCON ZeroDay 平台自動更新)
  • 2025/07/24 09:27:05 : 複測申請中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2025/07/24 14:13:15 : 未修補完成 (由 chilin 更新此狀態)
  • 2025/07/25 03:00:08 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

  • ZDID:ZD-2025-00549
  • 通報者:chilin (chilin)
  • 風險:嚴重
  • 類型:存取控制缺陷 (Broken Access Control)

參考資料

攻擊者可經由該漏洞取得、修改、刪除系統中的其他使用者的資料,或連線至高權限使用者的頁面。

OWASP Top 10 - 2017 A5 - Broken Access Control
https://www.owasp.org/index.php/Top_10-2017_A5-Broken_Access_Control

CWE-284: Improper Access Control
https://cwe.mitre.org/data/definitions/284.html
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)

敘述

受影響的單位

  • 台北市教網 (ISRG R10 Chain)
    • eduroam Relam: tp.edu.tw
  • 苗栗縣教網 (TWCA RSA Chain)
    • eduroam Relam: webmail.mlc.edu.tw
  • 南投縣教網 (TWCA RSA Chain)
    • eduroam Relam: ntct.edu.tw
  • 宜蘭縣教網 (ISRG E6 Chain)
    • eduroam Relam: tmail.ilc.edu.tw / ilc.edu.tw
  • 國立政治大學 (Sectigo RSA Chain)
    • eduroam Relam: eduroam.nccu.edu.tw
  • 國立臺北科技大學 (TWCA RSA Chain)
    • eduroam Relam: ntut.edu.tw
  • 國立嘉義大學 (TWCA RSA Chain)
    • eduroam Relam: mail.ncyu.edu.tw
  • 國立空中大學 (TWCA RSA Chain)
    • eduroam Relam: nou.edu.tw
  • 銘傳大學 (TWCA RSA Chain)
    • eduroam Relam: eduroam.mcu.edu.tw
  • 中國文化大學 (Sectigo RSA Chain)
    • eduroam Relam: pccu.edu.tw
  • 華夏科技大學 (ISRG R11 Chain)
    • eduroam Relam: cc.hwh.edu.tw
  • 美和科技大學 (TWCA RSA Chain)
    • eduroam Relam: meiho.edu.tw
  • 德育護理健康學院 (TWCA RSA Chain)
    • eduroam Relam: ems.dyhu.edu.tw / ms.dyhu.edu.tw
  • 臺南市黎明高級中學 (Sectigo RSA Chain)
    • eduroam Relam: lmsh.tn.edu.tw
  • 國立新化高級工業職業學校 (TWCA RSA Chain)
    • eduroam Relam: gm.hhvs.tn.edu.tw / sgm.hhvs.tn.edu.tw
  • 新竹市私立曙光女子高級中學 (ISRG R10 Chain)
    • eduroam Relam: sggs.hc.edu.tw
  • 臺南市私立慈濟高級中學 (Sectigo RSA Chain)
    • eduroam Relam: tcsh.tn.edu.tw
  • 臺南市天主教慈幼工商 (Sectigo RSA Chain)
    • eduroam Relam: mail.ssvs.tn.edu.tw

漏洞成因

FreeRADIUS 在全預設狀態下,如果在信任的 CA 欄位中帶入商業 CA 的根憑證,
會導致使用者可提供與伺服器相同根憑證、憑證鏈的憑證,使用 EAP-TLS 登入。
且 FreeRADIUS 預設行為不會驗證憑證的 CN/SNI,只會驗證是否存在信任鏈關係。
而在使用 PEAP/TTLS 認證方式的伺服器上非常容易產生該設定錯誤。
要測試是否存在該漏洞,需要使用黑箱測試的方法測試。

備註:eduroam 技術簡介

eduroam 的底層是無數台 RADIUS 組成的 RADIUS 集群與認證交換網路,透過帳號 @ 後的值進行認證轉發。
對於 EAP (Extensible Authentication Protocol) 來說,中間經過的轉發節點可視為透明。
因此,這邊把架構簡化成任何一個 eduroam 接入點後直接對接各單位的內部認證伺服器。

測試流程

使用 eduroam 跨校漫遊服務,@ 後代入各單位的值,以該單位使用者的身分登入。
如附圖的設定,eduroam 會把這個認證請求送至該單位內部維運的 RADIUS 伺服器做認證請求。
以下以國立臺北科技大學為例:
圖片
而接下來,可以看到國立臺北科技大學使用 TWCA 的憑證
圖片
因此,我們也使用同樣由 TWCA 發行的憑證,且和國立臺北科技大學伺服器相同憑證鏈的憑證做認證測試。
使用憑證資訊 (部分遮檔)
圖片
而最後成功通過認證
圖片
而國立臺北科技大學的認證伺服器可能有受上面這個配置錯誤的影響,
導致執行 EAP-TLS 認證時,可以順利握手,且不會認證使用者憑證身分 (CN / SNI) 的值,最終導致身分認證繞過,實際測試也可以順利繞過認證連線。
而下列其他單位也受同樣的問題影響,僅需依伺服器安裝的根憑證,相對應更換 Client 憑證,即可重現攻擊。

測試使用憑證 (Client Authentication)

修補建議

- 如果未使用 EAP-TLS (僅使用 PEAP/TTLS):可修改 `/etc/freeradius/3.0/mods-enabled/eap` 中,並在 `tls {`加入 # 以停用 EAP-TLS
- 如果有使用 EAP-TLS:你不該在 FreeRADIUS 中 CA Cert 處信任商業 CA 的根憑證

擷圖

留言討論

聯絡組織

 發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。
;