Der deutsche IT-Systemadministrator Marco Hofmann hat weltweite Attacken auf Citrix-Geräte entdeckt. Während Details über die Angreifer noch nicht bekannt sind, gehören zu den Opfern dieser Citrix-basierten DDoS-Attacken vor allem Online-Gaming-Dienste wie Steam und Xbox. Hofmann verfolgte das Problem bis zur DTLS-Schnittstelle auf Citrix ADC-Geräten.
DTLS, oder Datagram Transport Layer Security, ist eine Version des Transport Layer Security (TLS)-Protokolls, die auf dem streamingfreundlichen UDP-Übertragungsprotokoll implementiert ist, anstatt auf dem zuverlässigeren TCP. Wie alle UDP-basierten Protokolle ist auch DTLS spoofbar und kann als DDoS-Verstärkungsvektor genutzt werden.
Das bedeutet, dass Angreifer kleine DTLS-Pakete an das DTLS-fähige Gerät senden können und das Ergebnis in einem um ein Vielfaches größeren Paket an eine gefälschte IP-Adresse (das Opfer des DDoS-Angriffs) zurückgesendet wird.
Wie oft das ursprüngliche Paket vergrößert wird, bestimmt den Verstärkungsfaktor eines bestimmten Protokolls. Bei früheren DTLS-basierten DDoS-Angriffen betrug der Verstärkungsfaktor in der Regel das 4- oder 5-fache des Originalpakets.
Hofmann entdeckte jedoch, dass die DTLS-Implementierung auf den ADC-Geräten von Citrix anscheinend einen satten 35-fachen Verstärkungsfaktor aufweist, was es zu einem der stärksten DDoS-Verstärkungsvektoren macht.
Nach mehreren Berichten hat auch Citrix das Problem bestätigt und versprochen, einen Fix am 12. Januar 2021 zu veröffentlichen. Das Problem gilt als gefährlich für IT-Administratoren, da es weniger um die Sicherheit der Geräte als um Kosten und Betriebszeiten geht.
Wenn Angreifer ein Citrix ADC-Gerät missbrauchen, können sie dessen Upstream-Bandbreite ausschöpfen, was zusätzliche Kosten verursacht und legitime Aktivitäten des ADCs blockiert. Bis Citrix offizielle Abhilfemaßnahmen bereitstellt, gibt es zwei temporäre Lösungen. Die erste besteht darin, die DTLS-Schnittstelle des Citrix ADC zu deaktivieren, wenn sie nicht verwendet wird.
Wenn die DTLS-Schnittstelle benötigt wird, wird empfohlen, das Gerät zu zwingen, eingehende DTLS-Verbindungen zu authentifizieren, obwohl dies die Leistung des Geräts beeinträchtigen kann.
Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.
Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.
Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…