Resumo
A CISA publicou, em 9 de junho de 2026, um alerta sobre a vulnerabilidade CVE-2024-3596, conhecida como BlastRADIUS, em switches industriais da Schneider Electric. Com CVSS v3 de 9,0 (crítico), a falha explora colisões MD5 no protocolo RADIUS para forjar respostas de autenticação e conceder acesso não autorizado a redes de tecnologia operacional em infraestruturas críticas.
O ataque BlastRADIUS
A vulnerabilidade CVE-2024-3596 explora uma fraqueza fundamental no protocolo RADIUS: a dependência do algoritmo de hash MD5 para garantir a integridade das mensagens. Um atacante posicionado na rede entre o switch (cliente RADIUS) e o servidor RADIUS consegue forjar uma resposta Access-Accept utilizando uma colisão de prefixo escolhido em MD5.
O resultado é que o switch aceita a resposta falsificada como legítima e concede acesso administrativo ou de rede ao atacante — sem necessidade de credenciais válidas. O ataque não requer quebrar o segredo compartilhado RADIUS; basta manipular a validação da assinatura baseada em MD5.
O nome BlastRADIUS vem do artigo de pesquisa de 2024 que detalhou como colisões MD5 no RADIUS podem ser transformadas em arma. Embora a fragilidade do MD5 fosse conhecida há anos, muitos dispositivos embarcados — incluindo switches industriais — ainda dependem exclusivamente dele para validação de mensagens RADIUS. O ataque se enquadra na categoria de interceptação de tráfego de rede (man-in-the-middle), onde o adversário precisa estar posicionado no caminho entre cliente e servidor.
Switches afetados
A advisory ICSA-26-160-01 da CISA abrange três famílias de produtos com todas as versões de firmware:
| Família de produto | Status | Mitigação |
|---|---|---|
| Connexium Managed Switches | Todas as versões | Habilitar Message Authenticator (padrão) |
| Modicon Managed Switches | Todas as versões | Habilitar Message Authenticator (padrão) |
| Modicon Redundancy Switches | Todas as versões | Habilitar Message Authenticator (padrão) |
Os equipamentos operam em setores de instalações comerciais, energia, alimentação, serviços governamentais, transporte e água e esgoto, com implantação global.
Como mitigar o risco
A configuração padrão dos switches não é vulnerável — o risco surge quando o atributo RADIUS Message Authenticator é desabilitado. A Schneider orienta manter esse parâmetro ativado, o que pode ser configurado via CLI ou SNMP:
- CLI (TCSESM*):
radius server msgauth - CLI (MCSESM*/MCSESP*):
radius server auth modify msgauth - SNMP: via MIBs
hmAgentRadiusServerMsgAuthouhm2AgentRadiusServerMsgAuth
Além da verificação de configuração, as equipes de segurança devem:
- Auditar todos os switches industriais para confirmar que o Message Authenticator está ativo
- Segmentar o tráfego RADIUS em VLANs dedicadas, impedindo interceptação
- Monitorar tentativas de autenticação anômalas nos servidores RADIUS
- Avaliar migração para RadSec (RADIUS over TLS) como reforço de longo prazo
- Verificar se outros dispositivos de rede além da Schneider também dependem de RADIUS sem Message Authenticator