[English]Kurze Information und Frage in die Runde der Citrix NetScaler-Administratoren. Stellt ihr vermehrte UDP:443 (EDT) Zugriff auf das Citrix Netscaler Gateway fest? Aktuell gibt es die Information, dass seit dem 19. Dezember 2020 eine massive DDoS-Kampagne gegen Citrix NetScaler Gateways läuft.
Anzeige
Blog-Leser Timo B. hat mich eben per Mail kontaktiert und auf den Beitrag Potentially ongoing worldwide UDP:443 (EDT) DDOS amplify attack against Citrix (NetScaler) Gateway hingewiesen (danke dafür). Der Betreiber der obigen Webseite beobachtet seit dem 19. Dezember 2020 19 Uhr MEZ einen weltweiten DDOS-Angriff gegen Citrix Gateway UDP:443 DTLS EDT Dienste.
(Zugriff auf Citrix-Gateway, Quelle: meinekleinefarm.net, Zum Vergrößern klicken)
Der Betreiber der Webseite schreibt, dass in der Nacht von Samstag (19.12.2020) auf Sonntag (20.12.2020) das Zabbix Monitoring eine Meldung verschickte, weil mehrere Citrix Gateway VPX (50) Appliances an ihrer Lizenzgrenze angelangt waren. Als die Betreiber das Ganze untersuchten, fanden sie schnell heraus, dass auf den meisten Appliances 0 ICA-Sessions stattfanden. Es gab also keine Erklärung für den Traffic.
Ab diesem Zeitpunkt nahmen die Leute ihre Citrix Gateway VPX-Systeme offline und begannen mit einer detaillierteren Untersuchung. Denn es bestand der Verdacht, dass die VPX-Systeme mit Malware verseucht oder Teil eines Botnetzes sein könnten. Auch Malware im internen Netzwerk, ein DDOS-Angriff oder BruteForce-Angriffe auf die VPX-Gateways wurde nicht ausgeschlossen.
Anzeige
Nach einigen Tests waren sich die Administratoren ziemlich sicher, dass ein DDOS-Angriff von der IP-Adress 92.118.16.122 auf deren VPX-Gateways erfolgte. Daher wurde eine Test-Appliances wieder online genommen, aber die potenziellen Quell-IPs der DDOS-Angreifer auf der Ebene der Unternehmensfirewall geblockt. Sofort sank Bandbreitenverbrauch auf dem Citrix VPX-Gateway auf Null.
Die Blockierung der Quell-IPs hielt aber nicht lange, da die Angreifer auf andere IPs für den Angriff auswichen. Es musste UDP:443 auf den Gateway VIP des Kunden auf der Ebene der Unternehmensfirewall komplett blockiert werden, um den DDOS-Angriff abzuwehren. Inzwischen ist klar, dass es weitere Betroffene gibt, wie die Leute im Beitrag dokumentieren. Nachfolgender Tweet berichtet dies ebenfalls.
Wer von diesem Angriffen betroffen ist, findet in diesem Beitrag einige zusätzliche Informationen und Vorschläge für Abhilfemaßnahmen. Danke an Blog-Leser Timo B. für den Hinweis (der obige Tweet ist an mir vorbei gegangen). Vielleicht hilft es dem ein oder anderen Betroffenen.
Ergänzung: CERT-Bund warnt vor DDoS-Angriffen auf Citrix NetScaler
Ähnliche Artikel:
Hacker infiltrierten Citrix für fünf Monate
Ragnarok Ransomware zielt auf Citrix ADC, stoppt Defender
Cyberangriffe: Gedia & Potsdam Opfer des Shitrix-Desasters (Citrix Netscaler-Bug)?Schwachstelle in Citrix Produkten gefährdet Firmen-Netzwerke
Sicherheitsinformationen (3.1.2020)
Exploit für Citrix ADC/Netscaler-Schwachstelle CVE-2019-19781
Achtung: Weiterer Nachbesserungsbedarf bei Citrix-Netscaler
Patches für Citrix ADC/Netscaler 11.1/12.0 verfügbar (19.1.2020)
Citrix Schwachstelle: Neue Updates und Scanner für Tests
Ransomware-Befall beim Automobilzulieferer Gedia
Potsdam offline–Ungereimtheiten erzwingen Server-Shutdown
Neue Schwachstellen CVE-2020-10110, CVE-2020-10111, CVE-2020-10112 in Citrix Gateway
Anzeige
http/3 / quic nutzt auch UDP 80/443 somit nicht „ungewöhnlich" das es somit für ddos verwendet wird wegen weniger Ressourcenverbrauch ist es schlau durchdacht.
Eine vielleicht blöde Frage, aber warum waren die NetScaler Gateways überhaupt via UDP/443 erreichbar bzw. sollte man diese so veröffentlichen? Stellt doch für solche Attacken immer ein Risiko da? Kann mir jemand abgesehen von der Verbindungsgeschwindigkeit sagen, was ein Grund wäre? Grundsätzlich benötigt man doch nur eine TCP-Freigabe oder irre ich mich? Danke für ein kurzes Feedback!
Das Anmeldeportal der Netscaler läuft auf HTTPS.
Hmm HTTPS ist klar. Das hat an dieser Stelle aber zunächst nichts mit UDP zu tun.
Der Grund dafür ist, dass der NetScaler Gateway einen Backround check via UDP/443 macht, das heisst, dass er rundherum scannt. Ohne UDP/443 ist A die Verbindung extrem viel langsamer & B habe ich keine Ahnung von was ich gerade spreche.
Weil EDT UDP nutzt. Schau mal unter https://docs.citrix.com/de-de/citrix-virtual-apps-desktops/technical-overview/hdx/adaptive-transport.html
Bessere Reaktionszeiten sind z. B. ein Argument.
Beste Grüße
Alex
Hallo Alex, alles klar danke dir für den Link. Wenn also nur TCP, firewallseitig offen – besteht in diesem Fall kein Problem, da quasi dauerhaft "Fallback" auf TCP?
Ja, dann gibt es kein Problem mehr.
https://support.citrix.com/article/CTX289674
Citrix empfiehlt aktuell DTLS zu deaktivieren. Mitte Januar soll ein Patch rauskommen
Hallo,
ich beobachte heute morgen an 3 verschiedenen Netscalern an verschiedenen Orten immer wieder Probleme. Auf einem stelle ich eine hohe Anzahl von Zugriffen auf 443/udp fest .
Beobachtet jemand ähnliches?
Gruß
Frank