{"id":240991,"date":"2020-12-26T11:02:30","date_gmt":"2020-12-26T10:02:30","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=240991"},"modified":"2021-01-17T00:59:07","modified_gmt":"2021-01-16T23:59:07","slug":"cert-bund-warnt-vor-ddos-angriffen-auf-citrix-netscaler","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/12\/26\/cert-bund-warnt-vor-ddos-angriffen-auf-citrix-netscaler\/","title":{"rendered":"CERT-Bund warnt vor DDoS-Angriffen auf Citrix NetScaler"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"margin: 0px 10px 0px 0px;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2020\/12\/26\/cert-bund-warnt-vor-ddos-angriffen-auf-citrix-netscaler\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Kurze Informationf\u00fcr Citrix NetScaler-Administratoren. Nun warnt auch CERT-Bund vor weltweit stattfindenden UDP:443 (EDT) Zugriffen auf Citrix Netscaler Gateways. Citrix hat einen Workaround ver\u00f6ffentlicht.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg06.met.vgwort.de\/na\/14c73634f6ec451196f61854e6c64380\" alt=\"\" width=\"1\" height=\"1\" \/>Ich hatte im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2020\/12\/22\/weltweite-udp443-edt-ddos-auf-citrix-netscaler-gateway\/\">Weltweite UDP:443 (EDT) DDOS auf Citrix (NetScaler) Gateway<\/a> bereits auf das Problem hingewiesen. <img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg06.met.vgwort.de\/na\/042dad0537ff452bb43f5d7738de685b\" alt=\"\" width=\"1\" height=\"1\" \/>Blog-Leser Timo B. hatte mich per Mail kontaktiert und auf den Beitrag <a href=\"https:\/\/www.meinekleinefarm.net\/potentially-ongoing-worldwide-udp443-edt-ddos-amplify-attack-against-citrix-netscaler-gateway\/\" target=\"_blank\" rel=\"noopener\">Potentially ongoing worldwide UDP:443 (EDT) DDOS amplify attack against Citrix (NetScaler) Gateway<\/a> hingewiesen. Der Betreiber der obigen Webseite beobachtet seit dem 19. Dezember 2020 19 Uhr MEZ einen weltweiten DDOS-Angriff gegen Citrix Gateway UDP:443 DTLS EDT Dienste.<\/p>\n<p><a href=\"https:\/\/twitter.com\/certbund\/status\/1342540214447857670\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"CERT-Bund Warnung: DDoS-Angriffe auf Citrix NetScaler\" src=\"https:\/\/i.imgur.com\/0utV5EK.png\" alt=\"CERT-Bund Warnung: DDoS-Angriffe auf Citrix NetScaler\" \/><\/a><\/p>\n<p>Citrix hat zum 24. Dezember 2020 den Sicherheitshinweis <a href=\"https:\/\/support.citrix.com\/article\/CTX289674\" target=\"_blank\" rel=\"noopener\">Threat Advisory &#8211; DTLS Amplification Distributed Denial of Service Attack on Citrix ADC<\/a> ver\u00f6ffentlicht. Drin hei\u00dft es, dass Citrix ein DDoS-Angriffsmuster auf den Citrix ADC bekannt ist. Im Rahmen dieses Angriffs k\u00f6nnen ein Angreifer oder Bots den DTLS-Netzwerkdurchsatz des Citrix ADC \u00fcberlasten, was zu einer Ersch\u00f6pfung der ausgehenden Bandbreite f\u00fchren kann. Der Effekt dieses Angriffs scheint bei Verbindungen mit begrenzter Bandbreite st\u00e4rker ausgepr\u00e4gt zu sein.<\/p>\n<h2>Kleine Anzahl an Kunden betroffen<\/h2>\n<p>Citrix \u00fcberwacht diese Ereignisse und untersucht weiterhin die Auswirkungen, die sie auf Citrix ADC haben. Zum jetzigen Zeitpunkt ist der Umfang des Angriffs auf eine kleine Anzahl von Kunden auf der ganzen Welt beschr\u00e4nkt, und dar\u00fcber hinaus gibt es keine bekannten Citrix-Schwachstellen, die mit diesem Ereignis in Verbindung stehen. Wenn das Citrix Security Response Team feststellt, dass ein Produkt aufgrund eines Fehlers in der Citrix-Software f\u00fcr DDoS-Angriffe anf\u00e4llig ist, will der Hersteller Informationen \u00fcber betroffene Produkte als Security Bulletin ver\u00f6ffentlichen.<\/p>\n<p>Citrix empfiehlt Administratoren aktuell, auf Angriffsindikatoren zu achten und ihre Systeme zu \u00fcberwachen. Um festzustellen, ob ein ADC von diesem Angriff betroffen ist, ist das Volumen des ausgehenden Datenverkehrs auf signifikante Anomalien oder Spitzen zu \u00fcberwachen.<\/p>\n<h2>Angriffsm\u00f6glichkeit tempor\u00e4r abschw\u00e4chen<\/h2>\n<p>Kunden, die von diesem Angriff betroffen sind, k\u00f6nnen DTLS vor\u00fcbergehend deaktivieren, um einen Angriff zu stoppen und die Anf\u00e4lligkeit f\u00fcr den Angriff zu beseitigen. Dies wird durch die Eingabe des folgenden CLI-Befehls auf dem Citrix ADC erreicht:<\/p>\n<p>set vpn vserver &lt;vpn_vserver_name&gt; -dtls OFF<\/p>\n<p>ie Deaktivierung des DTLS-Protokolls kann zu einer begrenzten Leistungsverschlechterung bei Echtzeitanwendungen f\u00fchren, die DTLS in Ihrer Umgebung verwenden. Das Ausma\u00df der Beeintr\u00e4chtigung h\u00e4ngt von mehreren Variablen ab. Wenn in Ihrer Umgebung kein DTLS verwendet wird, hat die vor\u00fcbergehende Deaktivierung des Protokolls keine Auswirkungen auf die Leistung. Details lassen sich in <a href=\"https:\/\/support.citrix.com\/article\/CTX289674\" target=\"_blank\" rel=\"noopener\">diesem Citrix-Dokument<\/a> nachlesen.<\/p>\n<p><strong>\u00c4hnliche Artikel:<br \/>\n<\/strong><a href=\"https:\/\/borncity.com\/blog\/2020\/02\/20\/hacker-infiltrierten-citrix-fr-fnf-monate\/\">Hacker infiltrierten Citrix f\u00fcr f\u00fcnf Monate<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/01\/28\/ragnarok-ransomware-zielt-auf-citrix-adc-stoppt-defender\/\">Ragnarok Ransomware zielt auf Citrix ADC, stoppt Defender<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/01\/24\/cyberangriffe-das-shitrix-desaster-citrix-netscaler-bug\/\">Cyberangriffe: Gedia &amp; Potsdam Opfer des Shitrix-Desasters (Citrix Netscaler-Bug)?<\/a><a href=\"https:\/\/borncity.com\/blog\/2019\/12\/24\/schwachstelle-in-citrix-produkten-gefhrdet-firmen-netzwerke\/\">Schwachstelle in Citrix Produkten gef\u00e4hrdet Firmen-Netzwerke<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/01\/03\/sicherheitsinformationen-3-1-2020\/\">Sicherheitsinformationen (3.1.2020)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/01\/13\/exploit-fr-citrix-adc-netscaler-schwachstelle-cve-2019-19781\/\">Exploit f\u00fcr Citrix ADC\/Netscaler-Schwachstelle CVE-2019-19781<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/01\/17\/achtung-weiterer-nachbesserungsbedarf-bei-citrix-netscaler\/\">Achtung: Weiterer Nachbesserungsbedarf bei Citrix-Netscaler<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/01\/20\/patches-fr-citrix-adc-netscaler-11-1-12-0-verfgbar-19-1-2020\/\">Patches f\u00fcr Citrix ADC\/Netscaler 11.1\/12.0 verf\u00fcgbar (19.1.2020)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/01\/24\/citrix-schwachstelle-neue-updates-und-scanner-fr-tests\/\">Citrix Schwachstelle: Neue Updates und Scanner f\u00fcr Tests<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/01\/23\/ransomware-befall-beim-automobilzulieferer-gedia\/\">Ransomware-Befall beim Automobilzulieferer Gedia<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/01\/24\/potsdam-offline-ungereimtheiten-erzwingen-server-shutdown\/\">Potsdam offline\u2013Ungereimtheiten erzwingen Server-Shutdown<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/03\/17\/neue-schwachstellen-cve-2020-10110-cve-2020-10111-cve-2020-10112-in-citrix-gateway\/\">Neue Schwachstellen CVE-2020-10110, CVE-2020-10111, CVE-2020-10112 in Citrix Gateway<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/07\/08\/schwachstellen-in-citrix-adc-gateway-sd-wan-patchen\/\">Schwachstellen in Citrix ADC, Gateway &amp; SD-Wan patchen<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/12\/22\/weltweite-udp443-edt-ddos-auf-citrix-netscaler-gateway\/\">Weltweite UDP:443 (EDT) DDOS auf Citrix (NetScaler) Gateway<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/09\/30\/citrix-sicherheitslcken-patchen-sept-2020\/\">Citrix-Sicherheitsl\u00fccken patchen (Sept. 2020)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/08\/14\/microsoft-defender-blockiert-citrix-dienste-als-trojaner\/\">Microsoft Defender blockiert Citrix-Dienste als Trojaner<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Kurze Informationf\u00fcr Citrix NetScaler-Administratoren. Nun warnt auch CERT-Bund vor weltweit stattfindenden UDP:443 (EDT) Zugriffen auf Citrix Netscaler Gateways. Citrix hat einen Workaround ver\u00f6ffentlicht.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[7843,4328],"class_list":["post-240991","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-citrix","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/240991","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=240991"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/240991\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=240991"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=240991"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=240991"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}