Hacker missbrauchen Citrix-Geräte für DDoS-Attacken

  • Allgemein

  • mad.de
  • 347 Aufrufe 0 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Hacker missbrauchen Citrix-Geräte für DDoS-Attacken

    Bedrohungsakteure haben eine Möglichkeit entdeckt, Junk-Web-Traffic gegen Citrix ADC-Netzwerkgeräte zu verstärken, um Distributed Denial of Service (DDoS)-Angriffe zu starten.

    Der deutsche IT-Systemadministrator Marco Hofmann hat weltweite Attacken auf Citrix-Geräte entdeckt. Während Details über die Angreifer noch nicht bekannt sind, gehören zu den Opfern dieser Citrix-basierten DDoS-Attacken vor allem Online-Gaming-Dienste wie Steam und Xbox. Hofmann verfolgte das Problem bis zur DTLS-Schnittstelle auf Citrix ADC-Geräten.

    DTLS, oder Datagram Transport Layer Security, ist eine Version des Transport Layer Security (TLS)-Protokolls, die auf dem streamingfreundlichen UDP-Übertragungsprotokoll implementiert ist, anstatt auf dem zuverlässigeren TCP. Wie alle UDP-basierten Protokolle ist auch DTLS spoofbar und kann als DDoS-Verstärkungsvektor genutzt werden.

    Das bedeutet, dass Angreifer kleine DTLS-Pakete an das DTLS-fähige Gerät senden können und das Ergebnis in einem um ein Vielfaches größeren Paket an eine gefälschte IP-Adresse (das Opfer des DDoS-Angriffs) zurückgesendet wird.

    Wie oft das ursprüngliche Paket vergrößert wird, bestimmt den Verstärkungsfaktor eines bestimmten Protokolls. Bei früheren DTLS-basierten DDoS-Angriffen betrug der Verstärkungsfaktor in der Regel das 4- oder 5-fache des Originalpakets.

    Hofmann entdeckte jedoch, dass die DTLS-Implementierung auf den ADC-Geräten von Citrix anscheinend einen satten 35-fachen Verstärkungsfaktor aufweist, was es zu einem der stärksten DDoS-Verstärkungsvektoren macht.

    Nach mehreren Berichten hat auch Citrix das Problem bestätigt und versprochen, einen Fix am 12. Januar 2021 zu veröffentlichen. Das Problem gilt als gefährlich für IT-Administratoren, da es weniger um die Sicherheit der Geräte als um Kosten und Betriebszeiten geht.

    Wenn Angreifer ein Citrix ADC-Gerät missbrauchen, können sie dessen Upstream-Bandbreite ausschöpfen, was zusätzliche Kosten verursacht und legitime Aktivitäten des ADCs blockiert. Bis Citrix offizielle Abhilfemaßnahmen bereitstellt, gibt es zwei temporäre Lösungen. Die erste besteht darin, die DTLS-Schnittstelle des Citrix ADC zu deaktivieren, wenn sie nicht verwendet wird.

    Wenn die DTLS-Schnittstelle benötigt wird, wird empfohlen, das Gerät zu zwingen, eingehende DTLS-Verbindungen zu authentifizieren, obwohl dies die Leistung des Geräts beeinträchtigen kann.

    Quelle: Hacker missbrauchen Citrix-Geräte für DDoS-Attacken | ZDNet.de