Der deutsche IT-Systemadministrator Marco Hofmann hat weltweite Attacken auf Citrix-Geräte entdeckt. Während Details über die Angreifer noch nicht bekannt sind, gehören zu den Opfern dieser Citrix-basierten DDoS-Attacken vor allem Online-Gaming-Dienste wie Steam und Xbox. Hofmann verfolgte das Problem bis zur DTLS-Schnittstelle auf Citrix ADC-Geräten.
DTLS, oder Datagram Transport Layer Security, ist eine Version des Transport Layer Security (TLS)-Protokolls, die auf dem streamingfreundlichen UDP-Übertragungsprotokoll implementiert ist, anstatt auf dem zuverlässigeren TCP. Wie alle UDP-basierten Protokolle ist auch DTLS spoofbar und kann als DDoS-Verstärkungsvektor genutzt werden.
Das bedeutet, dass Angreifer kleine DTLS-Pakete an das DTLS-fähige Gerät senden können und das Ergebnis in einem um ein Vielfaches größeren Paket an eine gefälschte IP-Adresse (das Opfer des DDoS-Angriffs) zurückgesendet wird.
Wie oft das ursprüngliche Paket vergrößert wird, bestimmt den Verstärkungsfaktor eines bestimmten Protokolls. Bei früheren DTLS-basierten DDoS-Angriffen betrug der Verstärkungsfaktor in der Regel das 4- oder 5-fache des Originalpakets.
Hofmann entdeckte jedoch, dass die DTLS-Implementierung auf den ADC-Geräten von Citrix anscheinend einen satten 35-fachen Verstärkungsfaktor aufweist, was es zu einem der stärksten DDoS-Verstärkungsvektoren macht.
Nach mehreren Berichten hat auch Citrix das Problem bestätigt und versprochen, einen Fix am 12. Januar 2021 zu veröffentlichen. Das Problem gilt als gefährlich für IT-Administratoren, da es weniger um die Sicherheit der Geräte als um Kosten und Betriebszeiten geht.
Wenn Angreifer ein Citrix ADC-Gerät missbrauchen, können sie dessen Upstream-Bandbreite ausschöpfen, was zusätzliche Kosten verursacht und legitime Aktivitäten des ADCs blockiert. Bis Citrix offizielle Abhilfemaßnahmen bereitstellt, gibt es zwei temporäre Lösungen. Die erste besteht darin, die DTLS-Schnittstelle des Citrix ADC zu deaktivieren, wenn sie nicht verwendet wird.
Wenn die DTLS-Schnittstelle benötigt wird, wird empfohlen, das Gerät zu zwingen, eingehende DTLS-Verbindungen zu authentifizieren, obwohl dies die Leistung des Geräts beeinträchtigen kann.
Neueste Kommentare
Noch keine Kommentare zu Hacker missbrauchen Citrix-Geräte für DDoS-Attacken
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.