CERT-Bund warnt vor DDoS-Angriffen auf Citrix NetScaler

[English]Kurze Informationfür Citrix NetScaler-Administratoren. Nun warnt auch CERT-Bund vor weltweit stattfindenden UDP:443 (EDT) Zugriffen auf Citrix Netscaler Gateways. Citrix hat einen Workaround veröffentlicht.


Anzeige

Ich hatte im Blog-Beitrag Weltweite UDP:443 (EDT) DDOS auf Citrix (NetScaler) Gateway bereits auf das Problem hingewiesen. Blog-Leser Timo B. hatte mich per Mail kontaktiert und auf den Beitrag Potentially ongoing worldwide UDP:443 (EDT) DDOS amplify attack against Citrix (NetScaler) Gateway hingewiesen. Der Betreiber der obigen Webseite beobachtet seit dem 19. Dezember 2020 19 Uhr MEZ einen weltweiten DDOS-Angriff gegen Citrix Gateway UDP:443 DTLS EDT Dienste.

CERT-Bund Warnung: DDoS-Angriffe auf Citrix NetScaler

Citrix hat zum 24. Dezember 2020 den Sicherheitshinweis Threat Advisory – DTLS Amplification Distributed Denial of Service Attack on Citrix ADC veröffentlicht. Drin heißt es, dass Citrix ein DDoS-Angriffsmuster auf den Citrix ADC bekannt ist. Im Rahmen dieses Angriffs können ein Angreifer oder Bots den DTLS-Netzwerkdurchsatz des Citrix ADC überlasten, was zu einer Erschöpfung der ausgehenden Bandbreite führen kann. Der Effekt dieses Angriffs scheint bei Verbindungen mit begrenzter Bandbreite stärker ausgeprägt zu sein.

Kleine Anzahl an Kunden betroffen

Citrix überwacht diese Ereignisse und untersucht weiterhin die Auswirkungen, die sie auf Citrix ADC haben. Zum jetzigen Zeitpunkt ist der Umfang des Angriffs auf eine kleine Anzahl von Kunden auf der ganzen Welt beschränkt, und darüber hinaus gibt es keine bekannten Citrix-Schwachstellen, die mit diesem Ereignis in Verbindung stehen. Wenn das Citrix Security Response Team feststellt, dass ein Produkt aufgrund eines Fehlers in der Citrix-Software für DDoS-Angriffe anfällig ist, will der Hersteller Informationen über betroffene Produkte als Security Bulletin veröffentlichen.


Anzeige

Citrix empfiehlt Administratoren aktuell, auf Angriffsindikatoren zu achten und ihre Systeme zu überwachen. Um festzustellen, ob ein ADC von diesem Angriff betroffen ist, ist das Volumen des ausgehenden Datenverkehrs auf signifikante Anomalien oder Spitzen zu überwachen.

Angriffsmöglichkeit temporär abschwächen

Kunden, die von diesem Angriff betroffen sind, können DTLS vorübergehend deaktivieren, um einen Angriff zu stoppen und die Anfälligkeit für den Angriff zu beseitigen. Dies wird durch die Eingabe des folgenden CLI-Befehls auf dem Citrix ADC erreicht:

set vpn vserver <vpn_vserver_name> -dtls OFF

ie Deaktivierung des DTLS-Protokolls kann zu einer begrenzten Leistungsverschlechterung bei Echtzeitanwendungen führen, die DTLS in Ihrer Umgebung verwenden. Das Ausmaß der Beeinträchtigung hängt von mehreren Variablen ab. Wenn in Ihrer Umgebung kein DTLS verwendet wird, hat die vorübergehende Deaktivierung des Protokolls keine Auswirkungen auf die Leistung. Details lassen sich in diesem Citrix-Dokument nachlesen.

Ähnliche Artikel:
Hacker infiltrierten Citrix für fünf Monate
Ragnarok Ransomware zielt auf Citrix ADC, stoppt Defender
Cyberangriffe: Gedia & Potsdam Opfer des Shitrix-Desasters (Citrix Netscaler-Bug)?Schwachstelle in Citrix Produkten gefährdet Firmen-Netzwerke
Sicherheitsinformationen (3.1.2020)
Exploit für Citrix ADC/Netscaler-Schwachstelle CVE-2019-19781
Achtung: Weiterer Nachbesserungsbedarf bei Citrix-Netscaler
Patches für Citrix ADC/Netscaler 11.1/12.0 verfügbar (19.1.2020)
Citrix Schwachstelle: Neue Updates und Scanner für Tests
Ransomware-Befall beim Automobilzulieferer Gedia
Potsdam offline–Ungereimtheiten erzwingen Server-Shutdown
Neue Schwachstellen CVE-2020-10110, CVE-2020-10111, CVE-2020-10112 in Citrix Gateway
Schwachstellen in Citrix ADC, Gateway & SD-Wan patchen
Weltweite UDP:443 (EDT) DDOS auf Citrix (NetScaler) Gateway
Citrix-Sicherheitslücken patchen (Sept. 2020)
Microsoft Defender blockiert Citrix-Dienste als Trojaner


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.