Citrix heeft in de Security Bulletin CTX289674 bekend gemaakt dat er DDoS aanvallen worden waargenomen op Citrix ADC’s. Hierdoor kan het DTLS-netwerk (Data Layer Transport Security) overspoeld raken, met als gevolg uitputting van de uitgaande bandbreedte. [Update 4 januari- nieuwe download]

Citrix heeft aangegeven dat er wordt gewerkt aan een verbeterde versie van DTLS, zodat de ADC niet meer kwetsbaar is voor deze aanval. Deze update wordt op 12 januari 2021 verwacht.

Impact

Alle Citrix ADC’s zijn kwetsbaar voor deze DDoS aanval. Meer informatie hierover is beschikbaar via https://support.citrix.com/article/CTX289674. Om te controleren of een ADC wordt aangevallen, is het aan te raden het uitgaande netwerkverkeer in de gaten te houden.

Advies

PQR raadt aan om nauwlettend in de gaten te houden of er aanvallen zijn op de Citrix ADC’s. In het geval dat de ADC wordt aangevallen, kan de onderstaande workaround worden toegepast.

De workaround bestaat uit het tijdelijk uitschakelen van DTLS. Dit kan met behulp van het volgende CLI commando op de ADC:

set vpn vserver <vpn_vserver_name> -dtls OFF

Het uitschakelen van het DTLS protocol kan leiden tot een performanceverlaging. Als er geen gebruik gemaakt wordt van DTLS heeft deze workaround geen impact op de performance.

Update

Citrix heeft wijzigingen doorgevoerd voor DTLS, waardoor deze niet meer kwetsbaar is. De nieuwe versie kan worden gedownload op deze pagina. Het gaat om de volgende versies:

  • Citrix ADC and Citrix Gateway 13.0-71.44 and later releases
  • NetScaler ADC and NetScaler Gateway 12.1-60.19 and later releases
  • NetScaler ADC and NetScaler Gateway 11.1-65.16 and later releases

PQR raadt aan om te upgraden naar de laatste versie en te controleren of het “HelloVerifyRequest” per DTLS profiel is ingeschakeld.

Lijst met DTLS profielen:

show dtlsProfile

Per DTLS profiel, is de optie “HelloVerifyRequest” in te schakelen via:

set dtlsProfile <dtls_Profile_Name> -HelloVerifyRequest ENABLED

Sla vervolgens de configuratie op:

savec

Verifieer dat “HelloVerifiyRequest” is ingeschakeld:

show dtlsProfile

Als DTLS is uitgeschakeld, kan dit weer worden ingeschakeld middels:

set vpn vserver <vpn_vserver_name> -dtls ON

Bronnen

https://support.citrix.com/article/CTX289674

Vragen of hulp nodig?

Mocht u over de bovenstaande Citrix ADC DDoS aanvallen vragen hebben of heeft u hier hulp bij nodig, neem dan contact op met PQR.

Geplaatst door

Berry Rijnbeek

Lead consultant security competence team, Security Officer