Artículos de Ciberseguridad en Español

Todo es lo mismo pero siempre encontramos un punto diferente.

Los productos Citrix se utilizan en ataques DDoS, pero aún no hay parche-1

Los productos Citrix se utilizan en ataques DDoS, pero aún no hay parche-1

La semana pasada, el administrador de sistemas alemán Marko Hoffman notó que los piratas informáticos han encontrado una manera de utilizar equipos de red Citrix ADC con EDT habilitado para amplificar los ataques DDoS a través de DTLS. La edición de ZDNet  cita sus propias fuentes y escribe que estos ataques están dirigidos principalmente contra servicios de juegos como Steam y Xbox.

Hoffman pudo rastrear los ataques hasta el protocolo Datagram Transport Layer Security (DTLS), que proporciona conexiones seguras para protocolos que utilizan datagramas. 

Por desgracia, DTLS, al igual que otros protocolos basados ​​en UDP, es susceptible de falsificación, lo que significa que se puede utilizar como un vector de amplificación DDoS.

 Es decir, un pirata informático puede enviar pequeños paquetes DTLS a un dispositivo habilitado para DTLS, y la respuesta se devolverá a la dirección de la víctima como un paquete mucho más grande.

En el pasado, el uso de DTLS ayudaba a los atacantes a amplificar el ataque de 4 a 5 veces, pero ahora Hoffman escribe que la implementación de DTLS en Citrix (NetScaler) Gateway da resultados más impresionantes y ayuda a amplificar el ataque en 35 veces, lo que hace que este método sea uno de los más efectivos en la actualidad. …

Los productos Citrix se utilizan en ataques DDoS, pero aún no hay parche-1
Citrix

Los representantes de Citrix ya  confirmaron la existencia del problema y prometieron lanzar una solución, pero solo después de las vacaciones de invierno, es decir, a mediados de enero de 2021. Al mismo tiempo, la empresa asegura que el problema afectó solo a «un pequeño número de clientes en todo el mundo».

Dicho abuso puede afectar negativamente los costos y el tiempo de actividad en lugar de la seguridad de los dispositivos del cliente.

 El punto es que cuando los atacantes abusan del problema, eventualmente pueden quedarse sin ancho de banda ascendente, creando así costos adicionales y bloqueando la actividad legítima.

Siempre que no haya parches, se recomienda desactivar la interfaz Citrix ADC DTLS si no está en uso. Si se requiere DTLS, se recomienda forzar al dispositivo a autenticar todas las conexiones DTLS entrantes, aunque esto puede ralentizar el rendimiento.

A %d blogueros les gusta esto: