Kurzmeldung: DDoS-Attacken auf Citrix ADC

Unserem Technologiepartner Citrix ist ein DDoS-Angriffsmuster bekannt, das Citrix ADCs betrifft. Im Rahmen dieses Angriffs können ein Angreifer oder Bots den DTLS-Netzwerkdurchsatz des Citrix ADC überwältigen, wodurch die ausgehende Bandbreite ausgeschöpft und somit verlangsamt werden kann. Verbindungen mit begrenzter Bandbreite sind davon stärker betroffen.

Citrix überwacht diese Ereignisse und untersucht weiterhin die Auswirkungen, die sie auf Citrix ADC haben.

Zum jetzigen Zeitpunkt ist der Umfang des Angriffs auf eine kleine Anzahl von Kunden auf der ganzen Welt beschränkt, und darüber hinaus gibt es keine bekannten Citrix-Schwachstellen, die mit diesem Ereignis in Verbindung stehen. Wenn das Citrix Security Response Team feststellt, dass ein Produkt aufgrund eines Fehlers in der Citrix-Software für DDoS-Angriffe anfällig ist, werden Informationen über betroffene Produkte als Security Bulletin veröffentlicht.

Citrix empfiehlt Administratoren, sich über Angriffsindikatoren zu informieren und ihre Systeme zu überwachen.

Angriffsindikatoren

Um festzustellen, ob ein ADC von diesem Angriff betroffen ist, überwachen Sie das Volumen des ausgehenden Datenverkehrs auf signifikante Anomalien oder Spikes.

Bevorstehende Erweiterungen

Citrix arbeitet an einer Funktionserweiterung in DTLS, um die Anfälligkeit für diesen Angriff zu beseitigen. Citrix geht davon aus, dass diese Erweiterung am 12. Januar 2021 auf der Citrix-Download-Seite für alle unterstützten Versionen verfügbar sein wird.

Vorübergehende Abhilfe

Kunden, die von diesem Angriff betroffen sind, können DTLS vorübergehend deaktivieren, um einen Angriff zu stoppen und die Anfälligkeit für den Angriff zu beseitigen. Dies wird durch die Eingabe des folgenden CLI-Befehls auf dem Citrix ADC erreicht:

set vpn vserver <vpn_vserver_name> -dtls OFF

Die Deaktivierung des DTLS-Protokolls kann zu einer begrenzten Leistungsverschlechterung bei Echtzeitanwendungen führen, die DTLS in Ihrer Umgebung verwenden. Das Ausmaß der Beeinträchtigung hängt von mehreren Variablen ab. Wenn in Ihrer Umgebung kein DTLS verwendet wird, hat die vorübergehende Deaktivierung des Protokolls keine Auswirkungen auf die Leistung.

HINWEIS: Bei der Deaktivierung von DTLS werden Verbindungen für einige Sekunden eingefroren, während der DTLS-Verkehr auf TLS zurückfällt. Wenn Sie Anwendungen ausführen, die EDT verwenden müssen, oder wenn Sie DTLS nicht deaktivieren können, so können Sie sich an uns wenden!

UPDATE: Citrix hat eine neue Firmware veröffentlicht, die das Problem beheben soll: https://support.citrix.com/article/CTX289674