黑客针对 Citrix 网络设备发起 DDoS 攻击
威胁参与者已发现一种方法,可以针对Citrix ADC网络设备反弹和放大垃圾Web流量,以发起DDoS攻击。
消息人士今天早些时候告诉ZDNet,尽管有关攻击者的详细信息仍未知,但这些基于Citrix的DDoS攻击的受害者主要包括在线游戏服务,例如Steam和Xbox。
这些攻击中的第一个已于上周被发现,并由德国IT系统管理员Marco Hofmann记录在案 。
Hofmann将此问题跟踪到Citrix ADC设备上的DTLS接口。
DTLS(或数据报传输层安全性)是在流友好的UDP传输协议上实现的TLS协议的更高版本,而不是更可靠的TCP。
就像所有基于UDP的协议一样,DTLS是可欺骗的,可以用作DDoS放大向量。
这意味着攻击者可以将小的DTLS数据包发送到具有DTLS功能的设备,并将结果以大得多的数据包形式返回给欺骗的IP地址(DDoS攻击受害者)。
原始数据包被放大多少倍,决定了特定协议的放大倍数。对于过去基于DTLS的DDoS攻击,放大倍数通常是原始数据包的4或5倍。
但是,在周一,Hofmann报告说,Citrix ADC设备上的DTLS实施似乎产生了惊人的35个,使其成为最强大的DDoS放大向量之一。
CITRIX确认问题
今天早些时候,在收到几份报告后,Citrix还确认了此问题,并承诺在2021年1月中旬的寒假后发布修复程序。
该公司表示,它已经看到DDoS攻击媒介被滥用,针对“世界各地的一小部分客户”。
对于IT管理员而言,此问题被认为是危险的,因为与成本和正常运行时间相关的问题,而不是其设备的安全性。
由于攻击者滥用Citrix ADC设备,他们最终可能会耗尽其上游带宽,从而增加成本并阻止ADC进行合法活动。
在Citrix准备减轻官员影响之前,已经出现了两个临时性修复程序。
首先是禁用Citrix ADC DTLS接口(如果未使用)。
如果需要DTLS接口,则建议强制设备对传入的DTLS连接进行身份验证,尽管这样可能会降低设备的性能。
