Posté le décembre 27, 2020 à 13:40
LES ATTAQUANTS UTILISENT DES APPAREILS CITRIX POUR LANCER DES ATTAQUES DDOS
Citrix, fournisseur de solutions de virtualisation des postes de travail, a annoncé qu’un problème de sécurité affectait le contrôleur de diffusion d’applications (ADC) Netscaler de la société. Selon le communiqué, les attaquants utilisent abusivement le dispositif pour mener des attaques par déni de service amplifié (DDoS) contre plusieurs cibles.
La déclaration de l’entreprise a révélé qu’un attaquant peut submerger le réseau Citrix ADC, ce qui peut entraîner l’épuisement de la bande passante sortante.
Cependant, les connexions à bande passante limitée semblent souffrir davantage de l’attaque, a expliqué la société.
Les ADC sont conçus pour améliorer la disponibilité, la sécurité et les performances des applications envoyées sur le web aux utilisateurs finaux.
Citrix a déclaré qu’elle surveille la situation et étudie l’impact sur les ADC Citrix. La société a également ajouté que l’attaque n’affecte pas toutes les connexions, car elle n’est limitée qu’à une petite fraction de ses clients et utilisateurs dans le monde.
L’entreprise a découvert l’incident le 19 décembre en découvrant de multiples attaques DDoS amplifiées sur UDP/443 contre des dispositifs Citrix Gateway.
Bien que les détails sur les hackers ne soient pas encore connus, les cibles des exploits comprennent des services de jeux en ligne comme Xbox et Steam, selon une source proche de l’incident.
Les hackers submergent le réseau DTLS
Marco Hofmann, un administrateur de systèmes informatiques allemand, a découvert la première phase de l’attaque la semaine dernière. Il a ensuite suivi les incidents jusqu’à l’interface DTLS des appareils ADC de Citrix.
DTLS utilise le protocole TLS (Transport Layer Security), qui assure une communication sécurisée pour empêcher la falsification, l’altération ou l’écoute des messages.
Et grâce à l’utilisation du protocole sans connexion UDP, les acteurs malveillants peuvent facilement usurper le datagramme d’un paquet IP et ajouter une adresse IP source aléatoire.
Lorsqu’il y a un afflux massif de paquets DTLS sur l’ADC Citrix, l’attaquant peut forger l’adresse IP source dans l’adresse IP de la victime. Cela pourrait entraîner une sursaturation de la bande passante, ce qui conduirait à une situation de DDoS.
Mais Citrix a déclaré qu’elle travaillait actuellement sur la question pour supprimer toute vulnérabilité à l’attaque. La société a déclaré qu’un patch est attendu en janvier de l’année prochaine.
Cisco a émis un avis pour permettre aux utilisateurs de savoir si un attaquant vise un équipement Citrix ADC. Selon le géant du logiciel, les utilisateurs doivent surveiller le volume du trafic sortant pour détecter tout pic ou anomalie inhabituelle sur le serveur.
Toutefois, il est conseillé aux clients qui ont déjà été touchés par l’attaque de désactiver le DTLS en exécutant la commande « set VPN vserver <vpn_vserver_name> -dtls OFF ». Commande sur l’ADC Citrix jusqu’à ce qu’une correction permanente soit effectuée par l’entreprise.
Le DTLS est la version la moins fiable du protocole TLS, contrairement au protocole TCP, plus fiable, qui est plus difficile à compromettre ou à utiliser de manière abusive.
Comme d’autres protocoles basés sur l’UDP, le protocole DTLS n’est pas à l’épreuve de la sécurité, car il peut être usurpé et utilisé comme vecteur d’application DDoS.
Cela signifie que les acteurs de la menace peuvent envoyer de multiples quantités de minuscules paquets DTLS à l’appareil basé sur DTLS et renvoyer les résultats en paquets plus importants à une adresse IP qui a été attaquée. Le facteur d’amplification du protocole détermine la façon dont le paquet sera agrandi. Pour les précédentes attaques DDoS centrées sur DTLS, le facteur d’application était généralement de 5 fois le paquet envoyé.
L’attaque ADC est très critique pour les administrateurs
L’attaque DDoS est considérée comme très critique pour les administrateurs informatiques en ce qui concerne le temps de fonctionnement et le coût global plutôt que la sécurité de leurs appareils.
Lorsque les attaquants abusent du dispositif Citrix ADC, ils risquent d’épuiser la bande passante en amont, ce qui entraîne des coûts supplémentaires et empêche toute activité réelle de l’ADC.
Après plusieurs rapports de chercheurs en sécurité sur la question, Citrix a confirmé le rapport en promettant de publier un patch dès que possible.
L’ADC de Citrix a également conseillé aux utilisateurs concernés par l’incident DDoS de désactiver rapidement le DTLS afin d’éviter d’autres dommages à leurs systèmes. Toutefois, la société a averti que cette action pourrait entraîner une solution de repli, un court gel ou une dégradation limitée des performances.
Ce sont des problèmes mineurs comparés au risque d’exposer leurs systèmes aux attaquants, a rappelé Citrix, ajoutant qu’une correction en janvier corrigera tout.
Mais Citrix a indiqué que la chose la plus sûre à faire est de désactiver complètement l’UDP jusqu’à la correction de janvier.
