Citrix ha emitido un aviso de emergencia advirtiendo a sus clientes de un problema de seguridad que afecta a sus dispositivos de controlador de entrega de aplicaciones (ADC) NetScaler que los atacantes están abusando para lanzar ataques de denegación de servicio distribuido amplificado (DDoS) contra varios objetivos.
«Un atacante o bots pueden abrumar a Citrix ADC [Datagram Transport Layer Security] el rendimiento de la red, lo que podría conducir al agotamiento del ancho de banda de salida «, señaló la compañía. El efecto de este ataque parece ser más prominente en las conexiones con ancho de banda limitado».
Los ADC son dispositivos de red especialmente diseñados cuya función es mejorar el rendimiento, la seguridad y la disponibilidad de las aplicaciones entregadas a través de la web a los usuarios finales.
El proveedor de servicios de red y virtualización de escritorio dijo que está monitoreando el incidente y continúa investigando su impacto en Citrix ADC, y agregó que «el ataque está limitado a una pequeña cantidad de clientes en todo el mundo».
El problema salió a la luz después de múltiples informes de un ataque amplificado DDoS sobre UDP / 443 contra dispositivos Citrix (NetScaler) Gateway al menos desde el 19 de diciembre, según Marco Hofmann, administrador de TI de una empresa de software alemana ANAXCO GmbH.
La seguridad de la capa de transporte de datagramas o DTLS se basa en el protocolo de seguridad de la capa de transporte (TLS) que tiene como objetivo proporcionar comunicaciones seguras de una manera que está diseñada para frustrar las escuchas, la manipulación o la falsificación de mensajes.
Dado que DTLS utiliza el protocolo de protocolo de datagramas de usuario (UDP) sin conexión, es fácil para un atacante falsificar un datagrama de paquetes IP e incluir una dirección IP de origen arbitraria.
Por lo tanto, cuando Citrix ADC se inunda con un flujo abrumador de paquetes DTLS cuyas direcciones IP de origen se falsifican en una dirección IP de víctima, las respuestas provocadas conducen a una sobresaturación del ancho de banda, lo que crea una condición DDoS.
Citrix está trabajando actualmente para mejorar DTLS para eliminar la susceptibilidad a este ataque, y se espera que se publique un parche el 12 de enero de 2021.
Para determinar si un equipo Citrix ADC es el objetivo del ataque, Cisco recomienda vigilar el volumen de tráfico saliente en busca de anomalías o picos significativos.
Mientras tanto, los clientes afectados por el ataque pueden desactivar DTLS mientras está pendiente una solución permanente de Citrix ejecutando el siguiente comando en Citrix ADC: «set vpn vserver
