攻击者滥用Citrix NetScaler设备发起扩大的DDoS攻击

Citrix已发布紧急警告，警告其客户其NetScaler application delivery controller（ADC）设备存在安全问题，攻击者正在利用该问题对多个目标发起扩大的分布式拒绝服务（DDoS）攻击。

该公司指出：“攻击者或机器人可以压倒Citrix ADC（数据报传输层安全）网络吞吐量，可能导致出站带宽耗尽”。“这种攻击对带宽有限的连接的影响似乎更为显著。”

ADC是专门构建的网络设备，其功能是提高通过web向最终用户交付的应用程序的性能、安全性和可用性。

这家桌面虚拟化和网络服务提供商表示，他们正在监控这起事件，并将继续调查其对Citrix ADC的影响，并补充说，“此次攻击仅限于全球少数客户。”

德国软件公司ANAXCO GmbH的IT管理员马可·霍夫曼（Marco Hofmann）表示，至少自12月19日以来，多次报告称，通过UDP/443对Citrix（NetScaler）网关设备进行DDoS放大攻击，这一问题由此曝光。

数据报传输层安全或DTLS基于传输层安全（TLS）协议，该协议旨在以一种旨在阻止窃听、篡改或消息伪造的方式提供安全通信。

由于DTLS使用无连接用户数据报协议（UDP），攻击者很容易伪造IP数据包数据报并包含任意源IP地址。

因此，当Citrix ADC中充斥着大量DTLS数据包，这些数据包的源IP地址被伪造为受害者IP地址时，诱导响应会导致带宽过度饱和，从而造成DDoS情况。

Citrix is currently working to enhance DTLS to eliminate the susceptibility to this attack, with an expected patch to be released on January 12, 2021.

为了确定Citrix ADC设备是否是攻击的目标，Cisco建议密切关注出站流量是否存在任何重大异常或峰值。

同时，受攻击影响的客户可以在Citrix ADC上运行以下命令，在等待Citrix永久修复时禁用DTL：“设置vpn vserver；vpn_vserver_name；DTLS关闭”。