Устройства Citrix используются в качестве векторов DDoS-атак

Злоумышленники обнаружили способ отражать и усиливать нежелательный веб-трафик на сетевое оборудование Citrix ADC для запуска DDoS-атак.
Устройства Citrix используются в качестве векторов DDoS-атак

Фото: Pixabay

Хотя подробности о злоумышленниках до сих пор неизвестны, жертвы этих DDoS-атак на базе Citrix в основном включали игровые онлайн-сервисы, такие как Steam и Xbox, сообщили ZDNet источники.

Первая из этих атак была обнаружена на прошлой неделе и задокументирована  немецким администратором ИТ-систем Марко Хофманном .

Хофманн отследил проблему до интерфейса DTLS на устройствах Citrix ADC.

DTLS, или  безопасность транспортного уровня дейтаграмм — это подробная версия протокола TLS, реализованная на основе дружественного к потоку протокола передачи UDP, а не более надёжного TCP.

Как и все протоколы на основе UDP, DTLS можно подделать и использовать в качестве вектора усиления DDoS.

Это означает, что злоумышленники могут отправлять небольшие пакеты DTLS на устройство с поддержкой DTLS, а результат возвращается в виде пакета во много раз большего размера на поддельный IP-адрес (жертва DDoS-атаки).

Сколько раз увеличивается исходный пакет, определяет коэффициент усиления конкретного протокола. Для прошлых DDoS-атак на основе DTLS коэффициент усиления обычно в 4 или 5 раз превышал исходный пакет.

Но в понедельник Хофманн сообщил, что реализация DTLS на устройствах Citrix ADC, похоже, даёт усиление в 35 раз, что делает её одним из самых эффективных векторов DDoS.

Citrix также  подтвердила проблему  и пообещала выпустить исправление после зимних праздников в середине января 2020 года.

Компания заявила, что видела злоупотребление вектором DDoS-атак против «небольшого числа клиентов по всему миру».

Проблема считается опасной для ИТ-администраторов из-за проблем, связанных с расходами и временем безотказной работы, а не с безопасностью их устройств.

Когда злоумышленники злоупотребляют устройством Citrix ADC, они могут в конечном итоге исчерпать его пропускную способность восходящего потока, создавая дополнительные расходы и блокируя законную активность ADC.

Пока Citrix не подготовит официальные меры по снижению рисков, появилось два временных исправления.

Первый - отключить интерфейс Citrix ADC DTLS, если он не используется. 

Если требуется интерфейс DTLS, рекомендуется заставить устройство аутентифицировать входящие соединения DTLS, хотя в результате это может снизить производительность устройства.

Как сообщал Startpack, ранее исследователи обнаружили, что патч Microsoft от агрессивного эксплойта оказался неэффективным.

Больше интересного

Актуальное

Microsoft снова продлила действие лимита участников прямых трансляций
Google нашла способ улучшить стабильность Chrome
Патч Microsoft от агрессивного эксплойта оказался нерабочим
Ещё…