{"id":239952,"date":"2020-12-22T15:59:28","date_gmt":"2020-12-22T14:59:28","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=239952"},"modified":"2020-12-26T11:04:33","modified_gmt":"2020-12-26T10:04:33","slug":"weltweite-udp443-edt-ddos-auf-citrix-netscaler-gateway","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/12\/22\/weltweite-udp443-edt-ddos-auf-citrix-netscaler-gateway\/","title":{"rendered":"Weltweite UDP:443 (EDT) DDOS auf Citrix (NetScaler) Gateway"},"content":{"rendered":"

[English<\/a>]Kurze Information und Frage in die Runde der Citrix NetScaler-Administratoren. Stellt ihr vermehrte UDP:443 (EDT) Zugriff auf das Citrix Netscaler Gateway fest? Aktuell gibt es die Information, dass seit dem 19. Dezember 2020 eine massive DDoS-Kampagne gegen Citrix NetScaler Gateways l\u00e4uft.<\/p>\n

<\/p>\n

\"\"Blog-Leser Timo B. hat mich eben per Mail kontaktiert und auf den Beitrag Potentially ongoing worldwide UDP:443 (EDT) DDOS amplify attack against Citrix (NetScaler) Gateway<\/a> hingewiesen (danke daf\u00fcr). Der Betreiber der obigen Webseite beobachtet seit dem 19. Dezember 2020 19 Uhr MEZ einen weltweiten DDOS-Angriff gegen Citrix Gateway UDP:443 DTLS EDT Dienste.<\/p>\n

\"Zabbix<\/a>
\n(Zugriff auf Citrix-Gateway, Quelle: meinekleinefarm.net, Zum Vergr\u00f6\u00dfern klicken<\/a>)<\/p>\n

Der Betreiber der Webseite schreibt, dass in der Nacht von Samstag (19.12.2020) auf Sonntag (20.12.2020) das Zabbix Monitoring<\/a> eine Meldung verschickte, weil mehrere Citrix Gateway VPX (50) Appliances an ihrer Lizenzgrenze angelangt waren. Als die Betreiber das Ganze untersuchten, fanden sie schnell heraus, dass auf den meisten Appliances 0 ICA-Sessions stattfanden. Es gab also keine Erkl\u00e4rung f\u00fcr den Traffic.<\/p>\n

Ab diesem Zeitpunkt nahmen die Leute ihre Citrix Gateway VPX-Systeme offline und begannen mit einer detaillierteren Untersuchung. Denn es bestand der Verdacht, dass die VPX-Systeme mit Malware verseucht oder Teil eines Botnetzes sein k\u00f6nnten. Auch Malware im internen Netzwerk, ein DDOS-Angriff oder BruteForce-Angriffe auf die VPX-Gateways wurde nicht ausgeschlossen.<\/p>\n

Nach einigen Tests waren sich die Administratoren ziemlich sicher, dass ein DDOS-Angriff von der IP-Adress 92.118.16.122 auf deren VPX-Gateways erfolgte. Daher wurde eine Test-Appliances wieder online genommen, aber die potenziellen Quell-IPs der DDOS-Angreifer auf der Ebene der Unternehmensfirewall geblockt. Sofort sank Bandbreitenverbrauch auf dem Citrix VPX-Gateway auf Null.<\/p>\n

Die Blockierung der Quell-IPs hielt aber nicht lange, da die Angreifer auf andere IPs f\u00fcr den Angriff auswichen. Es musste UDP:443 auf den Gateway VIP des Kunden auf der Ebene der Unternehmensfirewall komplett blockiert werden, um den DDOS-Angriff abzuwehren. Inzwischen ist klar, dass es weitere Betroffene gibt, wie die Leute im Beitrag dokumentieren<\/a>. Nachfolgender Tweet<\/a> berichtet dies ebenfalls.<\/p>\n

\"DDoS-Angriffe<\/a><\/p>\n

Wer von diesem Angriffen betroffen ist, findet in diesem Beitrag einige zus\u00e4tzliche Informationen und Vorschl\u00e4ge f\u00fcr Abhilfema\u00dfnahmen. Danke an Blog-Leser Timo B. f\u00fcr den Hinweis (der obige Tweet ist an mir vorbei gegangen). Vielleicht hilft es dem ein oder anderen Betroffenen.<\/p>\n

Erg\u00e4nzung:\u00a0CERT-Bund warnt vor DDoS-Angriffen auf Citrix NetScaler<\/a><\/p>\n

\u00c4hnliche Artikel:
\n<\/strong>Hacker infiltrierten Citrix f\u00fcr f\u00fcnf Monate<\/a>
\nRagnarok Ransomware zielt auf Citrix ADC, stoppt Defender<\/a>
\nCyberangriffe: Gedia & Potsdam Opfer des Shitrix-Desasters (Citrix Netscaler-Bug)?<\/a>Schwachstelle in Citrix Produkten gef\u00e4hrdet Firmen-Netzwerke<\/a>
\nSicherheitsinformationen (3.1.2020)<\/a>
\nExploit f\u00fcr Citrix ADC\/Netscaler-Schwachstelle CVE-2019-19781<\/a>
\nAchtung: Weiterer Nachbesserungsbedarf bei Citrix-Netscaler<\/a>
\nPatches f\u00fcr Citrix ADC\/Netscaler 11.1\/12.0 verf\u00fcgbar (19.1.2020)<\/a>
\nCitrix Schwachstelle: Neue Updates und Scanner f\u00fcr Tests<\/a>
\nRansomware-Befall beim Automobilzulieferer Gedia<\/a>
\nPotsdam offline\u2013Ungereimtheiten erzwingen Server-Shutdown<\/a>
\nNeue Schwachstellen CVE-2020-10110, CVE-2020-10111, CVE-2020-10112 in Citrix Gateway<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Kurze Information und Frage in die Runde der Citrix NetScaler-Administratoren. Stellt ihr vermehrte UDP:443 (EDT) Zugriff auf das Citrix Netscaler Gateway fest? Aktuell gibt es die Information, dass seit dem 19. Dezember 2020 eine massive DDoS-Kampagne gegen Citrix NetScaler Gateways … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-239952","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/239952","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=239952"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/239952\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=239952"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=239952"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=239952"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}