Citrix-Systeme für DDoS-Attacken missbraucht
Neuer Amplification-Vector Datagram Transport Layer Security (DTLS) zielt auf Schwachstelle in Citrix ADC-Systemen und überlastet die Upstream-Bandbreite sowie die Verfügbarkeiten von Diensten und Anwendungen.
Seit Ende Dezember 2020 häufen sich weltweit DDoS-Attacken gegen Citrix Application Delivery Controller (ADC) Systeme mit aktiviertem Enlightened Data Transport (EDT). Das Link11 Security Operation Center hat in seinem globalen Netzwerkwerk und mittels der KI-basierten Mitigation-Technologie diesen Angriffsvektor bereits von Anfang an erkannt, so dass Link11 für alle Kunden hinter der Link11-Schutzplattform 100-prozentigen Schutz gewährleisten kann.
Citrix-Systeme sind fester Bestandteil in vielen IT-Infrastrukturen von Unternehmen, da sie Mitarbeitern aus dem Home-Office oder von unterwegs den Zugriff auf Unternehmensnetzwerke ermöglichen. ETD dient dabei zur Performance-Verbesserung von Anwendungen und Diensten.
Warnung vor neuem Amplification-Vektor DTLS
Um EDT zu verwenden, muss das Datagram Transport Layer Security (DTLS) Protokoll (Port 443) aktiviert sein. DTLS wurde entwickelt, um verschlüsselte Daten nicht nur über gesicherte, verbindungsorientierte Transportprotokolle wie TCP, sondern auch über das verbindungslose UDP übertragen zu können. Als Nachteil erweist sich, dass DTLS wie alle UDP-basierten Protokolle imitierbar ist und dass die Antwortpakete deutlich größer als die Anfragen ausfallen können. Erste Analysen gehen bei DTLS-Attacken von einem Amplification-Faktor von 35 aus. Zum Vergleich: Bei DNS Amplification liegt der Verstärkungsfaktor zwischen 28 und 54, beim Amplification Vector WS Discovery zwischen 10 und 500.
Als Folge der Angriffe kann es zu einer Erschöpfung der ausgehenden Bandbreiten und zur eingeschränkten Verfügbarkeit von ADC-Anwendungen kommen.
Amplification-Attacken: ständig neue Schwachstellen im Visier
Die ersten Amplification-Vektoren kamen 2013 auf, dabei handelte es sich um DNS und NTP. Seitdem ist das Spektrum der Vektoren immer breiter geworden. Aktuell umfasst es über 20 Techniken, darunter Memcached Reflection Amplification und CLDAP.
Die Angreifer identifizieren permanent neue Schwachstellen und unzureichend geschützte Internet-Dienste sowie offene Services, die sich für Überlastungsangriffe missbrauchen lassen. Es ist nur eine Frage der Zeit, bis Angreifer für ihre DDoS-Attacken das nächste, schon lange existierende Protokoll für sich entdecken werden.
Handlungsempfehlung für Administratoren
Citrix hat kurzfristig ein Update bereitgestellt, mit dem DTLS nicht mehr als Verstärkungsvektor für DDoS-Angriffe genutzt werden kann. Dennoch empfiehlt das Unternehmen den gesamten Netzwerkverkehr auf Anomalien und Peaks zu prüfen und insbesondere das von Citrix ADC Systemen ausgehende Netzwerkvolumen im Blick zu behalten. Sollte es in ungepachten Systemen zu einem Angriff auf den UDP-Port 443 kommen, lässt sich DTLS vorübergehend deaktivieren. Eine detaillierte Anleitung liefert die Sicherheitswarnung von Citrix „Threat Advisory - DTLS Amplification Distributed Denial of Service Attack on Citrix ADC and Citrix Gateway”.
Link11 empfiehlt darüber hinaus zu prüfen, ob die eingesetzte DDoS-Schutzlösung generell in der Lage ist, neuartige, bisher unbekannte Angriffsvektoren zu erkennen und innerhalb weniger Sekunden zu mitigieren. Sollte noch kein DDoS-Schutz implementiert sein, besteht aufgrund der allgemeinen DDoS-Bedrohungslage unmittelbarer Handlungsbedarf.
Nehmen Sie noch heute mit unseren Cyber-Security-Experten Kontakt auf und lassen Sie sich beraten, welche Lösung zu Ihrem Unternehmen passt.
Neueste Blogbeiträge
Bleiben Sie informiert über aktuelle DDoS-Reports, Warnmeldungen und Neuigkeiten zu IT-Sicherheit, Cybercrime und DDoS-Schutz.
Folgen Sie Link11 auf Twitter
How to protect your business and website from DDoS attacks during the biggest sales period of the year:…
5 Retweets 6
Mehr lesenWhat are DDoS Attacks and how do cybercriminals use them as weapons to shut down IT infrastructures? And more impor…
7 Retweets 5
Mehr lesenThis is why (and how) you should block bots on your business website (includes a list of most common bot attacks):…
13 Retweets 9
Mehr lesenWhat is Web Application Firewall, why do you need it and how does it protect your company? Learn more by reading ou…
3 Retweets 5
Mehr lesen0 Retweets 0
@RandyLoss Hah, you weren't the only one saying that.
0 Retweets 0
@vxtrade Your company might ;)
0 Retweets 1
@deckhand25 He is not, but close enough! ;)
0 Retweets 1
What would you do if you received a 180 000€ DDoS extortion email warning to exceed your web infrastructure defense…
1 Retweets 4
Mehr lesenGet a detailed and up to date overview of the global DDoS threat landscape by taking a look at our DDoS Report from…
6 Retweets 5
Mehr lesenRT @cloudtweeters: #CyberResilience has been redefined! We've partnered with @Link11GmbH so our VARs can provide customers with intelligen…
3 Retweets 0
EU-US-PrivacyShield adé! Was das für Nutzer von Content Delivery Networks (CDN) bedeutet, erklärt Michael Hempe, Re…
1 Retweets 2
Mehr lesen