Citrix ha riferito giovedì di un attacco DDoS che stava colpendo i suoi Citrix Application Delivery Controller (ADC), i prodotti di rete che consentono ai team di sicurezza e rete di gestire la velocità di consegna e la qualità delle applicazioni agli utenti finali.
Secondo l' advisory sulle minacce Citrix, l'aggressore o i bot possono sopraffare il throughput di rete DTLS (Datagram Transport Layer Security) di Citrix ADC, portando potenzialmente all'esaurimento della larghezza di banda in uscita. Citrix ha detto che le organizzazioni con larghezza di banda limitata sembrano avere un momento più difficile con questo attacco.
Fin dalla mattina presto, Citrix ha affermato che l'attacco è stato limitato a un numero limitato di clienti in tutto il mondo. Il fornitore ha anche aggiunto che non sono presenti vulnerabilità Citrix note associate a questo evento. Citrix ha affermato che se il team di risposta alla sicurezza di Citrix scopre che un prodotto diventa vulnerabile agli attacchi DDoS a causa di un difetto nel software Citrix, le informazioni sui prodotti interessati verranno pubblicate come bollettino sulla sicurezza .
Citrix consiglia ai team di sicurezza di essere al corrente degli indicatori di attacco e di monitorare i propri sistemi. Per determinare se un ADC viene preso di mira da questo attacco, Citrix ha affermato che i team di sicurezza dovrebbero monitorare il volume del traffico in uscita per rilevare eventuali anomalie o picchi significativi.
Per rimediare alla situazione, i clienti Citrix interessati da questo attacco possono disabilitare temporaneamente DTLS per fermare un attacco ed eliminare la suscettibilità all'attacco. La disabilitazione del protocollo DTLS può portare a una riduzione delle prestazioni limitata alle applicazioni che utilizzano DTLS nell'ambiente di un cliente. L'entità del degrado dipende da più variabili. Se l'ambiente dell'azienda non utilizza DTLS, la disattivazione temporanea del protocollo non avrà alcun impatto sulle prestazioni.
John Hammond, ricercatore senior di sicurezza presso Huntress, ha affermato che il recente avviso sulle minacce di Citrix per l'attacco DDoS che ha colpito gli ADC Citrix lascia i professionisti della sicurezza in un vicolo cieco. Citrix ha detto che avrà un aggiornamento per prevenire questo attacco entro il 12 gennaio 2021, ma Hammond ha sottolineato che questo offre agli aggressori una considerevole finestra di opportunità.
"Sebbene sia disponibile un hotfix temporaneo per disabilitare DTLS, crea un momentaneo aumento del traffico e potrebbe ostacolare le prestazioni", ha affermato Hammond. “I proprietari della rete e gli addetti alla sicurezza devono soppesare il rischio e prendere una decisione appropriata nel contesto del proprio ambiente. Sfortunatamente, questo è un altro avviso in un lungo elenco di esposizioni in cui cerchiamo di recuperare il ritardo sulla sicurezza del software. Per i professionisti della sicurezza oggi, questo si riduce alle basi secolari e collaudate: valutare il rischio, monitorare la situazione, rimanere vigili e aggiornare quando i produttori rilasciano una patch ".
Jonathan Meyers, il principale ingegnere dell'infrastruttura di Cybrary, ha aggiunto che i rapporti iniziali mostrano che se il cliente avesse attivato l' opzione ClientHelloVerify , avrebbe impedito questo attacco. Tuttavia, Meyers ha affermato che ci sono segnalazioni che un bug in alcune versioni del software – possibile perdita di memoria poiché occorrono alcune ore – ha causato il blocco del server quando si abilita questa opzione.
"È importante notare che questo avrebbe dovuto essere in primo luogo", ha detto Meyers. “A questo punto, sembra che l'unica soluzione sia disattivare DTLS e lasciarlo ricadere su TLS (DTLS è essenzialmente TLS su UDP). Inoltre, non dimenticare la tecnica secolare di inserire nella whitelist gli indirizzi IP nel firewall o inserire nella blacklist grandi blocchi di indirizzi, se la configurazione lo consente. "
Secondo BleepingComputer, i rapporti sull'attacco hanno iniziato ad arrivare il 21 dicembre. I clienti Citrix hanno segnalato un attacco DDOS amplificato in corso su UDP / 443 contro i dispositivi Citrix (NetScaler) Gateway.
Gli attacchi DDoS successivi hanno colpito i Citrix Application Delivery Controller, ostacolando le prestazioni dei clienti apparsi per primi su SC Media .