Citrix ha dichiarato giovedì un attacco DDoS che stava colpendo i suoi Citrix Software Supply Controller (ADC), i prodotti e le soluzioni di rete che consentono ai team di sicurezza e di rete di gestire la velocità di spedizione e consegna e l’eccellenza delle app agli utenti finali.
In conformità con l’avviso di vulnerabilità Citrix, l’autore dell’attacco o i bot possono sopraffare il throughput di rete DTLS (Datagram Transport Layer Security) di Citrix ADC, forse maggiore dell’esaurimento della larghezza di banda in uscita. Citrix ha affermato che le aziende con larghezza di banda limitata sono esposti ad avere tempi più complicati con questo attacco.
Fin dalla mattina presto, Citrix ha riferito che l’attacco è stato limitato a una modesta selezione di clienti in tutto il mondo. Il venditore ha anche affermato che non sono note vulnerabilità Citrix associate a questa notizia. Citrix ha spiegato che se il personale di Citrix Security Response scopre che un prodotto risulta suscettibile agli attacchi DDoS a causa di un difetto nel software Citrix, le informazioni sui prodotti influenzati verranno stampate come bollettino sulla sicurezza.
Citrix sostiene che i gruppi di sicurezza tengano conto degli indicatori di attacco e tengano traccia dei propri dispositivi. Per stabilire se un ADC viene qualificato da questo attacco, Citrix ha affermato che i team di sicurezza devono controllare il volume dei visitatori in uscita per rilevare eventuali anomalie o picchi considerevoli.
Per rimediare alla situazione, i clienti Citrix interessati da questo attacco possono disabilitare temporaneamente DTLS per prevenire un attacco ed eliminare la suscettibilità all’attacco. La disabilitazione del protocollo DTLS può forse portare a una riduzione limitata dell’efficienza per le applicazioni che utilizzano DTLS nell’atmosfera di un cliente. L’entità della degradazione dipende da più variabili. Se l’atmosfera dell’azienda non utilizza DTLS, la disattivazione temporanea del protocollo non avrà alcun effetto sulle prestazioni generali.
John Hammond, ricercatore senior di sicurezza presso Huntress, ha menzionato l’ultimo avviso di rischio di Citrix per l’attacco DDoS che ha avuto un impatto sugli ADC Citrix, che lascia i professionisti della sicurezza in un vicolo cieco. Citrix ha detto che avrà un aggiornamento per ridurre questo attacco entro il 12 gennaio 2021, ma Hammond ha sottolineato che questo offre agli attaccanti una considerevole finestra di opzioni.
“Sebbene un hotfix non permanente per disabilitare DTLS sia prontamente disponibile, provoca un momentaneo aumento dei visitatori del sito e potrebbe ostacolare le prestazioni“, ha riferito Hammond. “I proprietari di case in rete e gli operatori della sicurezza devono valutare il rischio e fare una selezione appropriata nel contesto del loro ecosistema individuale. Purtroppo, questo è un altro avviso in un ampio record di esposizioni nel luogo che controlliamo e ci impegniamo a catturare la sicurezza del programma. Per i professionisti della sicurezza ora, questo si riduce all’età precedente, sperimentato ed esaminato le basi: valutare il rischio, tenere d’occhio la situazione, rimanere vigili e aggiornare quando le aziende lanciano una patch“.
Jonathan Meyers, il principale ingegnere dell’infrastruttura di Cybrary, ha incluso che le esperienze originali dimostrano che se l’acquirente avesse attivato l’opzione ClientHelloVerify, avrebbe impedito questo attacco. D’altra parte, Meyers ha riferito che ci sono rapporti che un bug in alcune varianti del software – perdita di memoria ottenibile poiché richiede un paio d’ore per verificarsi – ha causato il crash del server quando si abilita questa alternativa.
“È essenziale notare che questo avrebbe dovuto davvero essere acceso in primo luogo“, ha detto Meyers. “A questo punto, sembra che l’unica mitigazione sia quella di disattivare DTLS e consentirgli di tornare a TLS (DTLS è fondamentalmente TLS più di UDP). Inoltre, non trascurare la procedura obsoleta di inserire nella whitelist gli indirizzi IP nel firewall o inserire nella blacklist grandi blocchi di indirizzi, se la configurazione lo consente.”
Secondo BleepingComputer, gli studi sull’attacco sono iniziati il 21 dicembre. Gli acquirenti di Citrix hanno descritto un attacco di amplificazione DDOS in corso attorno a UDP / 443 verso i prodotti Citrix (NetScaler) Gateway.