Немецкий системный администратор Марко Хоффман обнаружил, что хакеры нашли способ использовать сетевое оборудование Citrix ADC с включенным EDT для амплификации DDoS-атак посредством DTLS. Как удалось выяснить экспертам, эти атаки в основном направлены против игровых сервисов, таких как Steam и Xbox.

Хофманн отследил проблему до интерфейса DTLS на устройствах Citrix ADC (Datagram Transport Layer Security). DTLS  — это протокол связи, который обеспечивает защищенность соединений для протоколов, использующих датаграммы. DTLS позволяет приложениям, основанным на коммуникациях посредством датаграмм, сообщаться безопасным способом, предотвращающим перехват, прослушивание, вмешательство, не нарушая защиты целостности данных или подделку содержимого сообщения.

Как и все протоколы на основе UDP, DTLS можно подделать и использовать в качестве вектора усиления DDoS. То есть злоумышленник может отправлять небольшие DTLS-пакеты на устройство с поддержкой DTLS, а результат возвращается в виде пакета во много раз большего размера на поддельный IP-адрес (жертвы DDoS-атаки).

Во сколько раз будет увеличен исходный пакет, зависит от коэффициента усиления конкретного протокола. Для более ранних DDoS-атак на основе DTLS коэффициент усиления обычно в 4 или 5 раз превышал исходный пакет. Но после изучения проблемы Хофманн сообщил, что реализация DTLS на устройствах Citrix ADC, похоже, даёт колоссальный коэффициент 35, что делает ее одним из самых эффективных векторов усиления DDoS.

Changelog
  • 24.12.2020: Added information about the official Citrix Knowledge Center article CTX289674Added a final summary, that repeats all possible solutionsMaked it a lot clearer, that -helloVerifiyRequest doesn’t seem to work well

  • 22.12.2020: Added a warning note, that -helloVerifiyRequest doesn’t work on all Citrix ADC (NetScaler) firmware versions

  • 21.12.2020: Added a third possible solution regarding -helloVerifiyRequest

  • 21.12.2020: Initial version

Захват пакетов с корпоративного межсетевого экрана
Захват пакетов с корпоративного межсетевого экрана

Сообщения об инциденте начали поступать 21 декабря, когда клиенты сообщили о DDOS-атаке по протоколу UDP/443 на устройства Citrix (NetScaler) Gateway. Как сообщили в Citrix, в рамках этой атаки злоумышленник может обрушить пропускную способность сети Citrix ADC DTLS и привести к исчерпанию исходящей полосы пропускания. В настоящее время масштаб атаки ограничен только «небольшим количеством клиентов», и она затрагивает все ADC с включенным EDT. Компания пообещала выпустить исправление после зимних праздников в середине января 2020 года.

Пока Citrix не предложила официальные меры по снижению рисков, можно использовать два временных исправления. Первый: отключить интерфейс Citrix ADC DTLS, если он не используется.

Если требуется интерфейс DTLS, рекомендуется заставить устройство аутентифицировать входящие соединения DTLS, хотя в результате это может снизить производительность устройства.

Неторопливость Citrix в решении этой проблемы отчасти объясняется тем, что подобного рода уязвимости больше влияют на скорость работы, не угрожая безопасности клиентских устройств. При эксплуатации уязвимости злоумышленники могут исчерпать пропускную способность в восходящем направлении, тем самым и блокируя легитимную активность.

Как бы то ни было, лучше заранее обезопасить себя от возможных проблем. Чтобы узнать, атакованы ли вы, взгляните на Citrix ADC Dashboard, посмотрите на текущую пропускную способность и спросите себя, имеет ли это смысл:

Пропускная способность Citrix ADC
Пропускная способность Citrix ADC

Кроме того, вы можете использовать tcpdump и/или Wireshark в корпоративном интерфейсе WAN межсетевого экрана и выполнить поиск трафика UDP: 443, указывающего на VIP-адрес Citrix Gateway.


Что ещё интересного есть в блоге Cloud4Y

В тюрьму за приложение

2020 – год всемирной мобильности (как бы иронично это ни звучало)

Виртуальные машины и тест Гилева

Рассказываем про государственные защищенные сервисы и сети

Как настроить SSH-Jump Server

Подписывайтесь на наш Telegram-канал, чтобы не пропустить очередную статью. Пишем не чаще двух раз в неделю и только по делу.