FortiGate radius gui response invalid secret for the server

最近在重新複習 FreeRADIUS 的架構,剛好在測試的過程中,我把家裡的 FortiGate 從 7.2.9 upgrade 到 7.2.10,在 FortiGate GUI 上面執行 Test Connectivity 就發生 invalid secret for the server 這個錯誤訊息

Error Message

用 console 開啟 debug 就看到 check_response_authenticator_No Message Authenticator

GUI Debug Message

回頭查了一下 release note 就看到 RADIUS vulnerability,也就是強制所有的 response 內都帶入 Message-Authenticator attribute。

解決的方式可以參考前一篇針對 FreeRADIUS 的 BlastRADIUS 弱點修補

但很有趣的是,FortiOS 雖然修正了自己的 RADIUS daemona 機制,卻忘了修正在 GUI 上發動連線測試時,沒帶 Message-Authenticator 這個 attribute 的狀況,詳細可以參考官方 Known issues 的 Bug id 1075627