Amplified DDoS AttackBlogCitrixCitrix ADCCyber Attackddos attackFirewall

Atacantes que abusan de los dispositivos Citrix NetScaler para lanzar ataques DDoS amplificados

Citrix ha emitido un aviso de emergencia advirtiendo a sus clientes de un problema de seguridad que afecta a sus dispositivos de controlador de entrega de aplicaciones (ADC) NetScaler que los atacantes están abusando para lanzar ataques de denegación de servicio distribuida (DDoS) varios objetivos.

“Un atacante o bots pueden abrumar al Citrix ADC [Datagram Transport Layer Security] rendimiento de la red, lo que podría conducir al agotamiento del ancho de banda de salida “, señalado. “El efecto de este ataque parece ser más prominente en las conexiones con ancho de banda limitado”.

Los ADC están diseñados específicamente dispositivos de red cuya función es mejorar el rendimiento, la seguridad y la disponibilidad de las aplicaciones entregadas a través de la web a los usuarios finales.

El proveedor de servicios de redes y virtualización de escritorio dijo que está monitoreando el incidente y continúa investigando su impacto en Citrix ADC, y agregó que “el ataque se limita a una pequeña cantidad de clientes en todo el mundo”.

El problema salió a la luz después de múltiples informes de un ataque de amplificación DDoS sobre UDP / 443 contra dispositivos Citrix (NetScaler) Gateway al menos desde el 19 de diciembre, según Marco Hofmann, administrador de TI de una empresa de software alemana ANAXCO GmbH.

Seguridad de la capa de transporte de datagramas o DTLS se basa en el protocolo Transport Layer Security (TLS) que tiene como objetivo proporcionar comunicaciones seguras de una manera que está diseñada para impedir la escucha clandestina, la manipulación o la falsificación de mensajes.

Dado que DTLS utiliza el sin conexión Protocolo de datagramas de usuario (UDP), es fácil para un atacante falsificar un datagrama de paquete IP e incluir una dirección IP de origen arbitraria.

Por lo tanto, cuando Citrix ADC se inunda con un flujo abrumador de paquetes DTLS cuyas direcciones IP de origen se falsifican en una dirección IP de la víctima, las respuestas provocadas conducen a una sobresaturación del ancho de banda, creando una condición DDoS.

Citrix está trabajando actualmente para mejorar DTLS para eliminar la susceptibilidad a este ataque, y se espera que se lance un parche el 12 de enero de 2021.

Para determinar si un equipo Citrix ADC es el objetivo del ataque, Cisco recomienda vigilar el volumen de tráfico saliente en busca de anomalías o picos importantes.

Mientras tanto, los clientes afectados por el ataque pueden desactivar DTLS mientras esté pendiente una solución permanente de Citrix ejecutando el siguiente comando en Citrix ADC: “set vpn vserver -dtls OFF”.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar