Citrix heeft in de Security Bulletin CTX289674 bekend gemaakt dat er DDoS aanvallen worden waargenomen op Citrix ADC’s. Hierdoor kan het DTLS-netwerk (Data Layer Transport Security) overspoeld raken, met als gevolg uitputting van de uitgaande bandbreedte. [Update 4 januari- nieuwe download]
Citrix heeft aangegeven dat er wordt gewerkt aan een verbeterde versie van DTLS, zodat de ADC niet meer kwetsbaar is voor deze aanval. Deze update wordt op 12 januari 2021 verwacht.
Impact
Alle Citrix ADC’s zijn kwetsbaar voor deze DDoS aanval. Meer informatie hierover is beschikbaar via https://support.citrix.com/article/CTX289674. Om te controleren of een ADC wordt aangevallen, is het aan te raden het uitgaande netwerkverkeer in de gaten te houden.
Advies
PQR raadt aan om nauwlettend in de gaten te houden of er aanvallen zijn op de Citrix ADC’s. In het geval dat de ADC wordt aangevallen, kan de onderstaande workaround worden toegepast.
De workaround bestaat uit het tijdelijk uitschakelen van DTLS. Dit kan met behulp van het volgende CLI commando op de ADC:
set vpn vserver <vpn_vserver_name> -dtls OFF
Het uitschakelen van het DTLS protocol kan leiden tot een performanceverlaging. Als er geen gebruik gemaakt wordt van DTLS heeft deze workaround geen impact op de performance.
Update
Citrix heeft wijzigingen doorgevoerd voor DTLS, waardoor deze niet meer kwetsbaar is. De nieuwe versie kan worden gedownload op deze pagina. Het gaat om de volgende versies:
- Citrix ADC and Citrix Gateway 13.0-71.44 and later releases
- NetScaler ADC and NetScaler Gateway 12.1-60.19 and later releases
- NetScaler ADC and NetScaler Gateway 11.1-65.16 and later releases
PQR raadt aan om te upgraden naar de laatste versie en te controleren of het “HelloVerifyRequest” per DTLS profiel is ingeschakeld.
Lijst met DTLS profielen:
show dtlsProfile
Per DTLS profiel, is de optie “HelloVerifyRequest” in te schakelen via:
set dtlsProfile <dtls_Profile_Name> -HelloVerifyRequest ENABLED
Sla vervolgens de configuratie op:
savec
Verifieer dat “HelloVerifiyRequest” is ingeschakeld:
show dtlsProfile
Als DTLS is uitgeschakeld, kan dit weer worden ingeschakeld middels:
set vpn vserver <vpn_vserver_name> -dtls ON
Bronnen
https://support.citrix.com/article/CTX289674
Vragen of hulp nodig?
Mocht u over de bovenstaande Citrix ADC DDoS aanvallen vragen hebben of heeft u hier hulp bij nodig, neem dan contact op met PQR.