Der deutsche IT-Systemadministrator Marco Hofmann hat weltweite Attacken auf Citrix-Geräte entdeckt. Während Details über die Angreifer noch nicht bekannt sind, gehören zu den Opfern dieser Citrix-basierten DDoS-Attacken vor allem Online-Gaming-Dienste wie Steam und Xbox. Hofmann verfolgte das Problem bis zur DTLS-Schnittstelle auf Citrix ADC-Geräten.
DTLS, oder Datagram Transport Layer Security, ist eine Version des Transport Layer Security (TLS)-Protokolls, die auf dem streamingfreundlichen UDP-Übertragungsprotokoll implementiert ist, anstatt auf dem zuverlässigeren TCP. Wie alle UDP-basierten Protokolle ist auch DTLS spoofbar und kann als DDoS-Verstärkungsvektor genutzt werden.
Das bedeutet, dass Angreifer kleine DTLS-Pakete an das DTLS-fähige Gerät senden können und das Ergebnis in einem um ein Vielfaches größeren Paket an eine gefälschte IP-Adresse (das Opfer des DDoS-Angriffs) zurückgesendet wird.
Wie oft das ursprüngliche Paket vergrößert wird, bestimmt den Verstärkungsfaktor eines bestimmten Protokolls. Bei früheren DTLS-basierten DDoS-Angriffen betrug der Verstärkungsfaktor in der Regel das 4- oder 5-fache des Originalpakets.
Hofmann entdeckte jedoch, dass die DTLS-Implementierung auf den ADC-Geräten von Citrix anscheinend einen satten 35-fachen Verstärkungsfaktor aufweist, was es zu einem der stärksten DDoS-Verstärkungsvektoren macht.
Nach mehreren Berichten hat auch Citrix das Problem bestätigt und versprochen, einen Fix am 12. Januar 2021 zu veröffentlichen. Das Problem gilt als gefährlich für IT-Administratoren, da es weniger um die Sicherheit der Geräte als um Kosten und Betriebszeiten geht.
Wenn Angreifer ein Citrix ADC-Gerät missbrauchen, können sie dessen Upstream-Bandbreite ausschöpfen, was zusätzliche Kosten verursacht und legitime Aktivitäten des ADCs blockiert. Bis Citrix offizielle Abhilfemaßnahmen bereitstellt, gibt es zwei temporäre Lösungen. Die erste besteht darin, die DTLS-Schnittstelle des Citrix ADC zu deaktivieren, wenn sie nicht verwendet wird.
Wenn die DTLS-Schnittstelle benötigt wird, wird empfohlen, das Gerät zu zwingen, eingehende DTLS-Verbindungen zu authentifizieren, obwohl dies die Leistung des Geräts beeinträchtigen kann.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…