Les appareils Citrix sont abusés en tant que vecteurs d’attaque DDoS
Les acteurs de la menace ont découvert un moyen de rebondir et d’amplifier le trafic Web indésirable contre l’équipement réseau Citrix ADC pour lancer des attaques DDoS.
Bien que les détails sur les attaquants soient encore inconnus, les victimes de ces attaques DDoS basées sur Citrix ont principalement inclus des services de jeux en ligne, tels que Steam et Xbox, ont déclaré des sources à ZDNet plus tôt dans la journée.
La première de ces attaques a été détectée la semaine dernière et documentée par l’administrateur des systèmes informatiques allemand Marco Hofmann.
Hofmann a suivi le problème à l’interface DTLS sur les périphériques Citrix ADC.
DTLS, ou Datagram Transport Layer Security, est une version plus du protocole TLS implémentée sur le protocole de transfert UDP compatible avec le flux, plutôt que sur le TCP plus fiable.
Tout comme tous les protocoles basés sur UDP, DTLS peut être usurpé et peut être utilisé comme vecteur d’amplification DDoS.
Cela signifie que les attaquants peuvent envoyer de petits paquets DTLS au périphérique compatible DTLS et obtenir le résultat renvoyé dans un paquet beaucoup plus volumineux à une adresse IP usurpée (la victime de l’attaque DDoS).
Combien de fois le paquet d’origine est agrandi détermine le facteur d’amplification d’un protocole spécifique. Pour les précédentes attaques DDoS basées sur DTLS, le facteur d’amplification était généralement de 4 à 5 fois le paquet d’origine.
Mais, lundi, Hofmann a rapporté que la mise en œuvre DTLS sur les appareils Citrix ADC semble en donner 35, ce qui en fait l’un des vecteurs d’amplification DDoS les plus puissants.
CITRIX CONFIRME LE PROBLÈME
Plus tôt dans la journée, après plusieurs rapports, Citrix a également confirmé le problème et a promis de publier un correctif après les vacances d’hiver, à la mi-janvier 2021.
La société a déclaré avoir vu le vecteur d’attaque DDoS être abusé contre « un petit nombre de clients dans le monde ».
Le problème est considéré comme dangereux pour les administrateurs informatiques, pour les coûts et les problèmes de disponibilité plutôt que pour la sécurité de leurs appareils.
Lorsque les attaquants abusent d’un périphérique Citrix ADC, ils peuvent finir par épuiser sa bande passante en amont, créer des coûts supplémentaires et bloquer les activités légitimes de l’ADC.
Jusqu’à ce que Citrix prépare les mesures d’atténuation officielles, deux correctifs temporaires sont apparus.
La première consiste à désactiver l’interface Citrix ADC DTLS si elle n’est pas utilisée.
Pour plus d’information : https://www.zdnet.com/article/citrix-devices-are-being-abused-as-ddos-attack-vectors/?ftag=TRE-03-10aaa6b&bhid=29385485347567316588505593152750&mid=13216649&cid=2270025973
Nous sommes présents sur les réseaux : LinkedIn, Twitter, Facebook, Instagram