Seit 19. Dezember werden offensichtlich Citrix Gateway mit gezielten UDP Paketen dazu gebracht, aussergewöhnlich hohen Traffic zu generieren. Dieser Angriff ist nur möglich, wenn Adaptive Transport (EDT) aktiviert ist und auf der Firewall Port 443 UDP zum Gateway geöffnet ist.

Dies kann zu Überlastung vom Citrix ADC (je nach Lizenz) oder sogar dem Internet Router führen. Es handelt sich hierbei um einen Distributed Denial of Service Angriff und nicht um eine Sicherheitslücke. Es werden keine Daten entwendet, aber die Funktionalität vom ADC oder dem Uplink kann beeinträchtigt werden.

Vermutlich sind das UDP Reflection Angriffe wie im folgenden Artikel beschrieben wird:

https://docs.aws.amazon.com/whitepapers/latest/aws-best-practices-ddos-resiliency/udp-reflection-attacks.html

Im nachfolgenden Link werden alle Details dazu genauer aufgezeigt:

Mögliche Gegenmassnahmen sind:

  • UDP deaktivieren auf der Firewall
  • DTLS deaktivieren auf dem ADC
  • helloVerifyRequest aktivieren auf dem ADC
  • Einschränken durch Geo IP Blocking

Es macht keinen Sinn die einzelnen IP’s zu sperren, da diese immer wieder wechseln.

Citrix hat dazu inzwischen auch einen offiziellen Artikel verfasst: https://support.citrix.com/article/CTX289674

Kontaktieren Sie uns, falls Sie zusätzliche Informationen oder Unterstützung benötigen.

Bleiben Sie immer aktuell informiert!

Wenn Sie sich in unsere Mailingliste eintragen, werden Sie zukünftig direkt informiert, sobald ein Alarm oder eine Information erstellt wird. Verpassen Sie keine sicherheitskritischen Meldungen mehr und abonnieren den Newsletter noch heute.

Invalid email address
Bitte wählen Sie Ihre Kategorie(n).
Citrix
Nutanix
Weitere
Wir versprechen, Sie nicht zuzuspammen. Sie können sich jederzeit wieder abmelden.