Atacantes abusan de los dispositivos Citrix NetScaler para lanzar ataques DDoS amplificados

Citrix ha emitido un aviso de emergencia advirtiendo a sus clientes de un problema de seguridad que afecta a sus dispositivos de controlador de entrega de aplicaciones (ADC) NetScaler que los atacantes están abusando para lanzar ataques de denegación de servicio distribuidos (DDoS) amplificados contra varios objetivos. “Un atacante o bots pueden abrumar el rendimiento […]

Citrix ha emitido un aviso de emergencia advirtiendo a sus clientes de un problema de seguridad que afecta a sus dispositivos de controlador de entrega de aplicaciones (ADC) NetScaler que los atacantes están abusando para lanzar ataques de denegación de servicio distribuidos (DDoS) amplificados contra varios objetivos.

“Un atacante o bots pueden abrumar el rendimiento de la red Citrix ADC [Datagram Transport Layer Security], lo que podría conducir al agotamiento del ancho de banda de salida”, señaló la compañía . “El efecto de este ataque parece ser más prominente en conexiones con ancho de banda limitado”.

Los ADC son dispositivos de red especialmente diseñados cuya función es mejorar el rendimiento, la seguridad y la disponibilidad de las aplicaciones entregadas a través de la web a los usuarios finales.

El proveedor de servicios de redes y virtualización de escritorio dijo que está monitoreando el incidente y continúa investigando su impacto en Citrix ADC, y agregó que “el ataque se limita a una pequeña cantidad de clientes en todo el mundo”.

El problema salió a la luz después de varios informes de un ataque de amplificación DDoS sobre UDP / 443 contra dispositivos Citrix (NetScaler) Gateway al menos desde el 19 de diciembre, según Marco Hofmann , administrador de TI de una empresa de software alemana ANAXCO GmbH.

La seguridad de la capa de transporte de datagramas o DTLS se basa en el protocolo de seguridad de la capa de transporte (TLS) que tiene como objetivo proporcionar comunicaciones seguras de una manera que está diseñada para evitar las escuchas, la manipulación o la falsificación de mensajes.

Desde DTLS utiliza la conexión Datagram Protocol (UDP) Protocolo de usuario, es fácil para un atacante falsificar un datagrama paquete IP e incluir una dirección IP de origen arbitrario.

Por lo tanto, cuando Citrix ADC se inunda con un flujo abrumador de paquetes DTLS cuyas direcciones IP de origen se falsifican en una dirección IP de la víctima, las respuestas provocadas conducen a una sobresaturación del ancho de banda, creando una condición DDoS.

Citrix está trabajando actualmente para mejorar DTLS para eliminar la susceptibilidad a este ataque, y se espera que se lance un parche el 12 de enero de 2021.