FortiGate radius gui response invalid secret for the server

Post author: Sam Chen
Post link: <a href="https://blog.samhost.idv.tw/Fortinet/fortinet-fg-tip-radius-invalid-secret/" title="FortiGate radius gui response invalid secret for the server">https://blog.samhost.idv.tw/Fortinet/fortinet-fg-tip-radius-invalid-secret/
Copyright Notice: All articles in this blog are licensed under <span class="exturl" data-url="aHR0cHM6Ly9jcmVhdGl2ZWNvbW1vbnMub3JnL2xpY2Vuc2VzL2J5LW5jLXNhLzQuMC8="> BY-NC-SA unless stating additionally.

Posted on 2024-10-04 In Fortinet Views:

最近在重新複習 FreeRADIUS 的架構，剛好在測試的過程中，我把家裡的 FortiGate 從 7.2.9 upgrade 到 7.2.10，在 FortiGate GUI 上面執行 Test Connectivity 就發生 invalid secret for the server 這個錯誤訊息

Error Message

用 console 開啟 debug 就看到 check_response_authenticator_No Message Authenticator

GUI Debug Message

回頭查了一下 release note 就看到 RADIUS vulnerability，也就是強制所有的 response 內都帶入 Message-Authenticator attribute。

解決的方式可以參考前一篇針對 FreeRADIUS 的 BlastRADIUS 弱點修補

但很有趣的是，FortiOS 雖然修正了自己的 RADIUS daemona 機制，卻忘了修正在 GUI 上發動連線測試時，沒帶 Message-Authenticator 這個 attribute 的狀況，詳細可以參考官方 Known issues 的 Bug id 1075627。