Attaque par déni de service distribué par amplification DTLS sur Citrix ADC
Views: 7
0 0
Read Time:1 Minute, 42 Second


Mise à jour 1/4/2021:
Citrix a publié des informations mises à jour concernant le problème d’amplification DTLS / DDoS. Plus précisément, ils ont publié des versions de Citrix ADC mises à jour pour les versions 13.0, 12.1 et 11.1, comme décrit ici:

Avertissement de menace – Attaque de déni de service distribué par amplification DTLS sur Citrix ADC et Citrix Gateway

24/12/2020
Nous suivons actuellement une situation mondiale potentiellement en cours Attaque par déni de service distribué («DDoS») sur le port UDP 443 par rapport à Citrix Gateway qui a démarré le ou vers le 19 décembre. Citrix Gateway utilise UDP pour Enlightened Data Transport («EDT») qui peut fournir une meilleure expérience sur les connexions à faible bande passante / latence élevée que TCP. EDT est généralement défini sur préféré par défaut, ce qui signifie que si UDP est pris en charge de bout en bout entre Workspace App côté client et un VDA sur le réseau d’entreprise, il sera utilisé, sinon la connexion utilisera TCP à la place. Dans cet esprit, il existe deux solutions de contournement suggérées pour résoudre ce problème pendant qu’un correctif permanent de Citrix est en attente:

  1. Bloquez UDP 443 au niveau du pare-feu afin qu’il ne passe pas par le Citrix Gateway vServer sur un Citrix ADC.
  2. Désactivez DTLS sur le Citrix Gateway vServer.

Le résultat des deux approches est que les connexions Citrix utiliseront exclusivement TCP, car UDP échouera au niveau du pare-feu ou de la passerelle. Nous avons connaissance d’une troisième solution proposée impliquant la commande suivante appliquée à Citrix ADC:

set ssl dtlsProfile nsdtls_default_profile -helloVerifyRequest ENABLED

Cependant, il y a des rapports d’une fuite de mémoire affectant certaines versions / builds de Citrix ADC après l’application de cette commande, les rendant insensibles. Pour cette raison, nous ne recommandons pas cette commande à moins que le support technique Citrix ne vous conseille de le faire, jusqu’à ce que les versions / builds concernées soient clarifiées.

Veuillez contacter notre équipe si vous souhaitez de l’aide.

Happy
Happy
0
Sad
Sad
0
Excited
Excited
0
Sleepy
Sleepy
0
Angry
Angry
0
Surprise
Surprise
0

Average Rating

5 Star
0%
4 Star
0%
3 Star
0%
2 Star
0%
1 Star
0%