Устройства Citrix используются в качестве векторов DDoS-атак
Фото: Pixabay
Хотя подробности о злоумышленниках до сих пор неизвестны, жертвы этих DDoS-атак на базе Citrix в основном включали игровые онлайн-сервисы, такие как Steam и Xbox, сообщили ZDNet источники.
Первая из этих атак была обнаружена на прошлой неделе и задокументирована немецким администратором ИТ-систем Марко Хофманном .
Хофманн отследил проблему до интерфейса DTLS на устройствах Citrix ADC.
DTLS, или безопасность транспортного уровня дейтаграмм — это подробная версия протокола TLS, реализованная на основе дружественного к потоку протокола передачи UDP, а не более надёжного TCP.
Как и все протоколы на основе UDP, DTLS можно подделать и использовать в качестве вектора усиления DDoS.
Это означает, что злоумышленники могут отправлять небольшие пакеты DTLS на устройство с поддержкой DTLS, а результат возвращается в виде пакета во много раз большего размера на поддельный IP-адрес (жертва DDoS-атаки).
Сколько раз увеличивается исходный пакет, определяет коэффициент усиления конкретного протокола. Для прошлых DDoS-атак на основе DTLS коэффициент усиления обычно в 4 или 5 раз превышал исходный пакет.
Но в понедельник Хофманн сообщил, что реализация DTLS на устройствах Citrix ADC, похоже, даёт усиление в 35 раз, что делает её одним из самых эффективных векторов DDoS.
Citrix также подтвердила проблему и пообещала выпустить исправление после зимних праздников в середине января 2020 года.
Компания заявила, что видела злоупотребление вектором DDoS-атак против «небольшого числа клиентов по всему миру».
Проблема считается опасной для ИТ-администраторов из-за проблем, связанных с расходами и временем безотказной работы, а не с безопасностью их устройств.
Когда злоумышленники злоупотребляют устройством Citrix ADC, они могут в конечном итоге исчерпать его пропускную способность восходящего потока, создавая дополнительные расходы и блокируя законную активность ADC.
Пока Citrix не подготовит официальные меры по снижению рисков, появилось два временных исправления.
Первый - отключить интерфейс Citrix ADC DTLS, если он не используется.
Если требуется интерфейс DTLS, рекомендуется заставить устройство аутентифицировать входящие соединения DTLS, хотя в результате это может снизить производительность устройства.
Как сообщал Startpack, ранее исследователи обнаружили, что патч Microsoft от агрессивного эксплойта оказался неэффективным.
Комментариев пока не было