Citrix atualiza produtos para ampliar bloqueio a DDoS amplificado

Clientes que não usam DTLS não correm risco e não precisam habilitar o update – ou podem simplesmente desabilitar o DTLS
Da Redação
05/01/2021
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

A Citrix publicou ontem uma recomendação para que seus clientes instalem um update em seus dispositivos ADC e Gateway, para impedir que invasores abusem do protocolo DTLS (Datagram Transport Layer Security), utilizando-o na amplificação de ataques distribuídos de negação de serviço. Em dezembro, pesquisadores de segurança descobriram que o protocolo estava sendo abusado nos dispositivos Citrix para amplificar ataques DDoS.

Agora, a empresa está trabalhando em uma correção permanente para os produtos ADC e Gateway; ela deverá estar disponível até o final deste mês, de acordo com um alerta da empresa. O abuso dos produtos Citrix ADC e Gateway para amplificar ataques DDoS foi notado pela primeira vez em dezembro, por Marco Hofmann, administrador de TI da empresa de software alemã ANAXCO GmbH, e também por alguns outros pesquisadores de segurança. Hofmann descobriu que o ataque tinha como alvo a porta UDP: 443, que é usada por produtos Citrix.

Veja isso
Servidores Citrix sob ataque, solução só após dia 20
Hackers chineses exploram bugs no F5, Citrix, Pulse e Exchange

Outros pesquisadores de segurança também notaram padrões semelhantes a partir de 21 de dezembro. Os aprimoramentos da Citrix incluem uma configuração “HelloVerifyRequest” em cada perfil, para impedir que invasores abusem do protocolo, de acordo com o alerta da empresa.

Os clientes Citrix que não usam o protocolo DTLS não correm risco. Assim, eles não precisam habilitar o aprimoramento ou podem desabilitar o DTLS, o que também interrompe os ataques de amplificação, de acordo com o alerta. O update agora está disponível para os seguintes produtos Citrix:

  • Citrix ADC e Citrix Gateway 13.0-71.44 e versões posteriores;
  • NetScaler ADC e NetScaler Gateway 12.1-60.19 e versões posteriores;
  • NetScaler ADC e NetScaler Gateway 11.1-65.16 e versões posteriores.

A Citrix recomenda que os clientes que acreditam ter sido afetados por esses ataques DDoS amplificados verifiquem seus produtos em busca de padrões de tráfego incomuns.

“Para determinar se um Citrix ADC ou Citrix Gateway está sendo alvo deste ataque, monitore o volume de tráfego de saída para qualquer anomalia ou picos significativos”, diz a Citrix no alerta.

Com agências internacionais

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Inscrição na lista CISO Advisor

* campo obrigatório