На прошлой неделе немецкий системный администратор Марко Хоффман заметил, что хакеры нашли способ использовать сетевое оборудование Citrix ADC с включенным EDT для амплификации DDoS-атак посредством DTLS. Издание ZDNet ссылается на собственные источники и пишет, что эти атаки в основном направлены против игровых сервисов, таких как Steam и Xbox.
Хоффман сумел проследить атаки до протокола DTLS (Datagram Transport Layer Security), который обеспечивает защищенность соединений для протоколов, использующих датаграммы. Увы, DTLS, как и другие протоколы на основе UDP, подвержен проблеме спуфинга, а значит, его можно использовать в качестве вектора усиления DDoS. То есть хакер может отправлять небольшие DTLS-пакеты на устройство с поддержкой DTLS, и ответ вернется на адрес жертвы в виде куда большего пакета.
В прошлом использование DTLS помогало злоумышленникам усилить атаку в 4-5 раз, но теперь Хоффман пишет, что имплементация DTLS на Citrix (NetScaler) Gateway дает более впечатляющие результаты и помогает усилить атаку в 35 раз, что делает этот метод одним из самых эффективных на сегодня.
Представители Citrix уже подтвердили существование проблемы и пообещали выпустить исправление, но лишь после зимних праздников, то есть в середине января 2021 года. При этом в компании уверяют, что проблема затронуло лишь «небольшое число клиентов по всему миру».
Такие злоупотребления скорее могут негативно сказаться на расходах и времени работы, а не на безопасности клиентских устройств. Дело в том, что когда злоумышленники злоупотребляют проблемой, в конечном итоге они могут исчерпать пропускную способность в восходящем направлении, тем самым создавая дополнительные расходы и блокируя легитимную активность.
Пока патчей нет, рекомендуется отключить интерфейс Citrix ADC DTLS, если он не используется. Если же DTLS нужен, рекомендуется принудить устройство аутентифицировать все входящие соединения DTLS, хотя это может снизить производительность.
