[ 229,037 page views, 81,838 usuários - média últimos 90 dias ] - [ 5.767 assinantes na newsletter, taxa de abertura 27% ]

Citrix atualiza produtos para ampliar bloqueio a DDoS amplificado

A Citrix publicou ontem uma recomendação para que seus clientes instalem um update em seus dispositivos ADC e Gateway, para impedir que invasores abusem do protocolo DTLS (Datagram Transport Layer Security), utilizando-o na amplificação de ataques distribuídos de negação de serviço. Em dezembro, pesquisadores de segurança descobriram que o protocolo estava sendo abusado nos dispositivos Citrix para amplificar ataques DDoS.

Agora, a empresa está trabalhando em uma correção permanente para os produtos ADC e Gateway; ela deverá estar disponível até o final deste mês, de acordo com um alerta da empresa. O abuso dos produtos Citrix ADC e Gateway para amplificar ataques DDoS foi notado pela primeira vez em dezembro, por Marco Hofmann, administrador de TI da empresa de software alemã ANAXCO GmbH, e também por alguns outros pesquisadores de segurança. Hofmann descobriu que o ataque tinha como alvo a porta UDP: 443, que é usada por produtos Citrix.

Veja isso
Servidores Citrix sob ataque, solução só após dia 20
Hackers chineses exploram bugs no F5, Citrix, Pulse e Exchange

Outros pesquisadores de segurança também notaram padrões semelhantes a partir de 21 de dezembro. Os aprimoramentos da Citrix incluem uma configuração “HelloVerifyRequest” em cada perfil, para impedir que invasores abusem do protocolo, de acordo com o alerta da empresa.

Os clientes Citrix que não usam o protocolo DTLS não correm risco. Assim, eles não precisam habilitar o aprimoramento ou podem desabilitar o DTLS, o que também interrompe os ataques de amplificação, de acordo com o alerta. O update agora está disponível para os seguintes produtos Citrix:

  • Citrix ADC e Citrix Gateway 13.0-71.44 e versões posteriores;
  • NetScaler ADC e NetScaler Gateway 12.1-60.19 e versões posteriores;
  • NetScaler ADC e NetScaler Gateway 11.1-65.16 e versões posteriores.

A Citrix recomenda que os clientes que acreditam ter sido afetados por esses ataques DDoS amplificados verifiquem seus produtos em busca de padrões de tráfego incomuns.

“Para determinar se um Citrix ADC ou Citrix Gateway está sendo alvo deste ataque, monitore o volume de tráfego de saída para qualquer anomalia ou picos significativos”, diz a Citrix no alerta.

Com agências internacionais