Seit 19. Dezember werden offensichtlich Citrix Gateway mit gezielten UDP Paketen dazu gebracht, aussergewöhnlich hohen Traffic zu generieren. Dieser Angriff ist nur möglich, wenn Adaptive Transport (EDT) aktiviert ist und auf der Firewall Port 443 UDP zum Gateway geöffnet ist.
Dies kann zu Überlastung vom Citrix ADC (je nach Lizenz) oder sogar dem Internet Router führen. Es handelt sich hierbei um einen Distributed Denial of Service Angriff und nicht um eine Sicherheitslücke. Es werden keine Daten entwendet, aber die Funktionalität vom ADC oder dem Uplink kann beeinträchtigt werden.
Vermutlich sind das UDP Reflection Angriffe wie im folgenden Artikel beschrieben wird:
Im nachfolgenden Link werden alle Details dazu genauer aufgezeigt:
Mögliche Gegenmassnahmen sind:
- UDP deaktivieren auf der Firewall
- DTLS deaktivieren auf dem ADC
- helloVerifyRequest aktivieren auf dem ADC
- Einschränken durch Geo IP Blocking
Es macht keinen Sinn die einzelnen IP’s zu sperren, da diese immer wieder wechseln.
Citrix hat dazu inzwischen auch einen offiziellen Artikel verfasst: https://support.citrix.com/article/CTX289674
Kontaktieren Sie uns, falls Sie zusätzliche Informationen oder Unterstützung benötigen.