Citrix-Systeme für DDoS-Attacken missbraucht

Neuer Amplification-Vector Datagram Transport Layer Security (DTLS) zielt auf Schwachstelle in Citrix ADC-Systemen und überlastet die Upstream-Bandbreite sowie die Verfügbarkeiten von Diensten und Anwendungen.

Seit Ende Dezember 2020 häufen sich weltweit DDoS-Attacken gegen Citrix Application Delivery Controller (ADC) Systeme mit aktiviertem Enlightened Data Transport (EDT). Das Link11 Security Operation Center hat in seinem globalen Netzwerkwerk und mittels der KI-basierten Mitigation-Technologie diesen Angriffsvektor bereits von Anfang an erkannt, so dass Link11 für alle Kunden hinter der Link11-Schutzplattform 100-prozentigen Schutz gewährleisten kann.

Citrix-Systeme sind fester Bestandteil in vielen IT-Infrastrukturen von Unternehmen, da sie Mitarbeitern aus dem Home-Office oder von unterwegs den Zugriff auf Unternehmensnetzwerke ermöglichen. ETD dient dabei zur Performance-Verbesserung von Anwendungen und Diensten.

Warnung vor neuem Amplification-Vektor DTLS

Um EDT zu verwenden, muss das Datagram Transport Layer Security (DTLS) Protokoll (Port 443) aktiviert sein. DTLS wurde entwickelt, um verschlüsselte Daten nicht nur über gesicherte, verbindungsorientierte Transportprotokolle wie TCP, sondern auch über das verbindungslose UDP übertragen zu können. Als Nachteil erweist sich, dass DTLS wie alle UDP-basierten Protokolle imitierbar ist und dass die Antwortpakete deutlich größer als die Anfragen ausfallen können. Erste Analysen gehen bei DTLS-Attacken von einem Amplification-Faktor von 35 aus. Zum Vergleich: Bei DNS Amplification liegt der Verstärkungsfaktor zwischen 28 und 54, beim Amplification Vector WS Discovery zwischen 10 und 500.
Als Folge der Angriffe kann es zu einer Erschöpfung der ausgehenden Bandbreiten und zur eingeschränkten Verfügbarkeit von ADC-Anwendungen kommen.

Amplification-Attacken: ständig neue Schwachstellen im Visier

Die ersten Amplification-Vektoren kamen 2013 auf, dabei handelte es sich um DNS und NTP. Seitdem ist das Spektrum der Vektoren immer breiter geworden. Aktuell umfasst es über 20 Techniken, darunter Memcached Reflection Amplification und CLDAP.
Die Angreifer identifizieren permanent neue Schwachstellen und unzureichend geschützte Internet-Dienste sowie offene Services, die sich für Überlastungsangriffe missbrauchen lassen. Es ist nur eine Frage der Zeit, bis Angreifer für ihre DDoS-Attacken das nächste, schon lange existierende Protokoll für sich entdecken werden.

Handlungsempfehlung für Administratoren

Citrix hat kurzfristig ein Update bereitgestellt, mit dem DTLS nicht mehr als Verstärkungsvektor für DDoS-Angriffe genutzt werden kann. Dennoch empfiehlt das Unternehmen den gesamten Netzwerkverkehr auf Anomalien und Peaks zu prüfen und insbesondere das von Citrix ADC Systemen ausgehende Netzwerkvolumen im Blick zu behalten. Sollte es in ungepachten Systemen zu einem Angriff auf den UDP-Port 443 kommen, lässt sich DTLS vorübergehend deaktivieren. Eine detaillierte Anleitung liefert die Sicherheitswarnung von Citrix „Threat Advisory - DTLS Amplification Distributed Denial of Service Attack on Citrix ADC and Citrix Gateway”.

Link11 empfiehlt darüber hinaus zu prüfen, ob die eingesetzte DDoS-Schutzlösung generell in der Lage ist, neuartige, bisher unbekannte Angriffsvektoren zu erkennen und innerhalb weniger Sekunden zu mitigieren. Sollte noch kein DDoS-Schutz implementiert sein, besteht aufgrund der allgemeinen DDoS-Bedrohungslage unmittelbarer Handlungsbedarf.

Nehmen Sie noch heute mit unseren Cyber-Security-Experten Kontakt auf und lassen Sie sich beraten, welche Lösung zu Ihrem Unternehmen passt.

Jetzt kontaktieren