Citrix atualiza produtos ADC para ajudar a bloquear ataques DDoS

14/01/2021 mindsecblog Notícias 2

Citrix atualiza produtos ADC para ajudar a bloquear ataques DDoS. Empresa afirma que o aprimoramento impedirá que invasores abusem de DTLS.

A Citrix está pedindo aos clientes que implementem um aprimoramento recém-fornecido em seus dispositivos ADC e Gateway, projetado para impedir que invasores abusem do protocolo Datagram Transport Layer Security, ou DTLS, para amplificar ataques de negação de serviço distribuídos.

Em dezembro de 2020, pesquisadores de segurança alertaram que os invasores começaram a abusar do protocolo nos dispositivos Citrix para amplificar ataques DDoS . No aviso, a Citrix observou que esses ataques estão afetando um número “limitado” de clientes e embora não houvesse nenhuma vulnerabilidade conhecida naquele momento, a empresa estaria trabalhando para disponibilizar uma correção permanente para seus produtos ADC .

Citrix Application Delivery Controller, ou ADC, era conhecido anteriormente como NetScaler ADC. Esses produtos são usados como dispositivos de rede para ajudar a aumentar o desempenho do aplicativo, bem como melhorar a funcionalidade de segurança. Durante 2019, a Citrix teve problemas com agentes de ameaças visando vulnerabilidades conhecidas nesses produtos, incluindo uma que afetou cerca de 80.000 empresas, que os pesquisadores de segurança divulgaram em dezembro de 2019.

O abuso dos produtos Citrix ADC e Gateway para amplificar ataques DDoS foi notado pela primeira vez em dezembro de 2020 por pesquisadores de segurança independentes, bem como por Marco Hofmann , administrador de TI da empresa de software alemã ANAXCO GmbH. Ele descobriu que o ataque tinha como alvo a porta UDP: 443, que é usada por produtos Citrix.

Outros pesquisadores de segurança também notaram padrões semelhantes a partir de 21 de dezembro.

Melhorias

O problema de segurança que os pesquisadores descobriram parece afetar o protocolo DTLS usado com esses produtos Citrix. O DTLS – um protocolo de comunicação baseado no protocolo Transport Layer Security, ou TLS – foi desenvolvido para garantir que os aplicativos possam se comunicar uns com os outros sem que terceiros bisbilhotem essas comunicações ou interceptem mensagens.

Na maioria dos casos, o DTLS usa o protocolo de datagrama do usuário, e os agentes de ameaças são conhecidos por usá-lo para falsificar o endereço do datagrama do pacote IP, que pode então sobrecarregar rapidamente a rede com tráfego de Internet lixo e amplificar um ataque DDoS, de acordo com um aviso emitido anteriormente pela Agência de Segurança Cibernética e de Infraestrutura .

Os aprimoramentos do Citrix adicionam uma configuração “HelloVerifyRequest” em cada perfil que deve impedir que invasores abusem do protocolo, de acordo com o alerta da empresa.

Os clientes Citrix que não usam o protocolo DTLS não correm risco. Assim, eles não precisam habilitar o aprimoramento ou podem desabilitar o DTLS, o que também interrompe os ataques de amplificação, de acordo com o alerta.

O aprimoramento agora está disponível para estes produtos Citrix:

Citrix ADC e Citrix Gateway 13.0-71.44 e versões posteriores;
NetScaler ADC e NetScaler Gateway 12.1-60.19 e versões posteriores;
NetScaler ADC e NetScaler Gateway 11.1-65.16 e versões posteriores.

A Citrix recomenda que os clientes que acreditam ter sido afetados por esses ataques DDoS amplificados verifiquem seus produtos quanto a padrões de tráfego incomuns. “Para determinar se um Citrix ADC ou Citrix Gateway está sendo alvo deste ataque, monitore o volume de tráfego de saída para qualquer anomalia significativa ou picos,” Citrix diz.

Amplificação DDoS

Agências governamentais e pesquisadores de segurança alertaram nos últimos seis meses que os ataques DDoS estão se tornando mais poderosos devido às técnicas de amplificação.

Em julho, o FBI alertou que havia visto um aumento constante no número de ataques DDoS que afetavam organizações dos EUA. Os ataques DDoS, segundo o FBI, aumentaram, em parte, porque os agentes de ameaças veem uma oportunidade de interromper a força de trabalho remota, bem como as escolas retomando a educação online e potencialmente ganhar um resgate por encerrar um ataque, dizem especialistas em segurança.

“Com grande parte do mundo ainda em um estado de pandemia em que a escola é virtual, as visitas à saúde são remotas e as compras tornaram-se digitais, os alvos estão prontos para ataques em potencial“, disse Richard Hummel, gerente de pesquisa de ameaças da Arbor Networks – o divisão de segurança da Netscout.

“Educação, saúde e comércio eletrônico viram aumentos significativos [em ataques] conforme o mundo mudou para educação e compras online e o setor de saúde foi bombardeado com a pandemia“, disse Hummel.

O FBI alertou que os agentes da ameaça vinham tentando usar protocolos de rede embutidos, projetados para reduzir a sobrecarga e os custos operacionais, para conduzir ataques DDoS maiores e mais destrutivos. Essa técnica ajuda a amplificar o ataque sem usar tantos recursos, mas também pode criar uma ameaça cibernética muito mais perturbadora.

A CISA também emitiu um alerta sobre ataques DDoS em setembro em resposta a um incidente em agosto no qual a Bolsa de Valores da Nova Zelândia foi interrompida por um ataque DDoS que interrompeu as negociações por vários dias.