Der deutsche IT-Systemadministrator Marco Hofmann hat weltweite Attacken auf Citrix-Geräte entdeckt. Während Details über die Angreifer noch nicht bekannt sind, gehören zu den Opfern dieser Citrix-basierten DDoS-Attacken vor allem Online-Gaming-Dienste wie Steam und Xbox. Hofmann verfolgte das Problem bis zur DTLS-Schnittstelle auf Citrix ADC-Geräten.
DTLS, oder Datagram Transport Layer Security, ist eine Version des Transport Layer Security (TLS)-Protokolls, die auf dem streamingfreundlichen UDP-Übertragungsprotokoll implementiert ist, anstatt auf dem zuverlässigeren TCP. Wie alle UDP-basierten Protokolle ist auch DTLS spoofbar und kann als DDoS-Verstärkungsvektor genutzt werden.
Das bedeutet, dass Angreifer kleine DTLS-Pakete an das DTLS-fähige Gerät senden können und das Ergebnis in einem um ein Vielfaches größeren Paket an eine gefälschte IP-Adresse (das Opfer des DDoS-Angriffs) zurückgesendet wird.
Wie oft das ursprüngliche Paket vergrößert wird, bestimmt den Verstärkungsfaktor eines bestimmten Protokolls. Bei früheren DTLS-basierten DDoS-Angriffen betrug der Verstärkungsfaktor in der Regel das 4- oder 5-fache des Originalpakets.
Hofmann entdeckte jedoch, dass die DTLS-Implementierung auf den ADC-Geräten von Citrix anscheinend einen satten 35-fachen Verstärkungsfaktor aufweist, was es zu einem der stärksten DDoS-Verstärkungsvektoren macht.
Nach mehreren Berichten hat auch Citrix das Problem bestätigt und versprochen, einen Fix am 12. Januar 2021 zu veröffentlichen. Das Problem gilt als gefährlich für IT-Administratoren, da es weniger um die Sicherheit der Geräte als um Kosten und Betriebszeiten geht.
Wenn Angreifer ein Citrix ADC-Gerät missbrauchen, können sie dessen Upstream-Bandbreite ausschöpfen, was zusätzliche Kosten verursacht und legitime Aktivitäten des ADCs blockiert. Bis Citrix offizielle Abhilfemaßnahmen bereitstellt, gibt es zwei temporäre Lösungen. Die erste besteht darin, die DTLS-Schnittstelle des Citrix ADC zu deaktivieren, wenn sie nicht verwendet wird.
Wenn die DTLS-Schnittstelle benötigt wird, wird empfohlen, das Gerät zu zwingen, eingehende DTLS-Verbindungen zu authentifizieren, obwohl dies die Leistung des Geräts beeinträchtigen kann.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…