Weltweite UDP:443 (EDT) DDOS auf Citrix (NetScaler) Gateway

[English]Kurze Information und Frage in die Runde der Citrix NetScaler-Administratoren. Stellt ihr vermehrte UDP:443 (EDT) Zugriff auf das Citrix Netscaler Gateway fest? Aktuell gibt es die Information, dass seit dem 19. Dezember 2020 eine massive DDoS-Kampagne gegen Citrix NetScaler Gateways läuft.


Anzeige

Blog-Leser Timo B. hat mich eben per Mail kontaktiert und auf den Beitrag Potentially ongoing worldwide UDP:443 (EDT) DDOS amplify attack against Citrix (NetScaler) Gateway hingewiesen (danke dafür). Der Betreiber der obigen Webseite beobachtet seit dem 19. Dezember 2020 19 Uhr MEZ einen weltweiten DDOS-Angriff gegen Citrix Gateway UDP:443 DTLS EDT Dienste.

Zabbix Citrix Gateway Throughput Monitoring Graph
(Zugriff auf Citrix-Gateway, Quelle: meinekleinefarm.net, Zum Vergrößern klicken)

Der Betreiber der Webseite schreibt, dass in der Nacht von Samstag (19.12.2020) auf Sonntag (20.12.2020) das Zabbix Monitoring eine Meldung verschickte, weil mehrere Citrix Gateway VPX (50) Appliances an ihrer Lizenzgrenze angelangt waren. Als die Betreiber das Ganze untersuchten, fanden sie schnell heraus, dass auf den meisten Appliances 0 ICA-Sessions stattfanden. Es gab also keine Erklärung für den Traffic.

Ab diesem Zeitpunkt nahmen die Leute ihre Citrix Gateway VPX-Systeme offline und begannen mit einer detaillierteren Untersuchung. Denn es bestand der Verdacht, dass die VPX-Systeme mit Malware verseucht oder Teil eines Botnetzes sein könnten. Auch Malware im internen Netzwerk, ein DDOS-Angriff oder BruteForce-Angriffe auf die VPX-Gateways wurde nicht ausgeschlossen.


Anzeige

Nach einigen Tests waren sich die Administratoren ziemlich sicher, dass ein DDOS-Angriff von der IP-Adress 92.118.16.122 auf deren VPX-Gateways erfolgte. Daher wurde eine Test-Appliances wieder online genommen, aber die potenziellen Quell-IPs der DDOS-Angreifer auf der Ebene der Unternehmensfirewall geblockt. Sofort sank Bandbreitenverbrauch auf dem Citrix VPX-Gateway auf Null.

Die Blockierung der Quell-IPs hielt aber nicht lange, da die Angreifer auf andere IPs für den Angriff auswichen. Es musste UDP:443 auf den Gateway VIP des Kunden auf der Ebene der Unternehmensfirewall komplett blockiert werden, um den DDOS-Angriff abzuwehren. Inzwischen ist klar, dass es weitere Betroffene gibt, wie die Leute im Beitrag dokumentieren. Nachfolgender Tweet berichtet dies ebenfalls.

DDoS-Angriffe auf Citrix VPX-Gateways

Wer von diesem Angriffen betroffen ist, findet in diesem Beitrag einige zusätzliche Informationen und Vorschläge für Abhilfemaßnahmen. Danke an Blog-Leser Timo B. für den Hinweis (der obige Tweet ist an mir vorbei gegangen). Vielleicht hilft es dem ein oder anderen Betroffenen.

Ergänzung: CERT-Bund warnt vor DDoS-Angriffen auf Citrix NetScaler

Ähnliche Artikel:
Hacker infiltrierten Citrix für fünf Monate
Ragnarok Ransomware zielt auf Citrix ADC, stoppt Defender
Cyberangriffe: Gedia & Potsdam Opfer des Shitrix-Desasters (Citrix Netscaler-Bug)?Schwachstelle in Citrix Produkten gefährdet Firmen-Netzwerke
Sicherheitsinformationen (3.1.2020)
Exploit für Citrix ADC/Netscaler-Schwachstelle CVE-2019-19781
Achtung: Weiterer Nachbesserungsbedarf bei Citrix-Netscaler
Patches für Citrix ADC/Netscaler 11.1/12.0 verfügbar (19.1.2020)
Citrix Schwachstelle: Neue Updates und Scanner für Tests
Ransomware-Befall beim Automobilzulieferer Gedia
Potsdam offline–Ungereimtheiten erzwingen Server-Shutdown
Neue Schwachstellen CVE-2020-10110, CVE-2020-10111, CVE-2020-10112 in Citrix Gateway


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

9 Antworten zu Weltweite UDP:443 (EDT) DDOS auf Citrix (NetScaler) Gateway

  1. Tom sagt:

    http/3 / quic nutzt auch UDP 80/443 somit nicht „ungewöhnlich" das es somit für ddos verwendet wird wegen weniger Ressourcenverbrauch ist es schlau durchdacht.

  2. strgC sagt:

    Eine vielleicht blöde Frage, aber warum waren die NetScaler Gateways überhaupt via UDP/443 erreichbar bzw. sollte man diese so veröffentlichen? Stellt doch für solche Attacken immer ein Risiko da? Kann mir jemand abgesehen von der Verbindungsgeschwindigkeit sagen, was ein Grund wäre? Grundsätzlich benötigt man doch nur eine TCP-Freigabe oder irre ich mich? Danke für ein kurzes Feedback!

  3. Alex sagt:

    Weil EDT UDP nutzt. Schau mal unter https://docs.citrix.com/de-de/citrix-virtual-apps-desktops/technical-overview/hdx/adaptive-transport.html
    Bessere Reaktionszeiten sind z. B. ein Argument.

    Beste Grüße
    Alex

    • strgC sagt:

      Hallo Alex, alles klar danke dir für den Link. Wenn also nur TCP, firewallseitig offen – besteht in diesem Fall kein Problem, da quasi dauerhaft "Fallback" auf TCP?

  4. Timo B. sagt:

    Ja, dann gibt es kein Problem mehr.

    https://support.citrix.com/article/CTX289674
    Citrix empfiehlt aktuell DTLS zu deaktivieren. Mitte Januar soll ein Patch rauskommen

  5. Frank sagt:

    Hallo,

    ich beobachte heute morgen an 3 verschiedenen Netscalern an verschiedenen Orten immer wieder Probleme. Auf einem stelle ich eine hohe Anzahl von Zugriffen auf 443/udp fest .

    Beobachtet jemand ähnliches?

    Gruß
    Frank

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.