Les attaques DDoS frappent les contrôleurs de distribution d’applications Citrix, nuisant aux performances des clients

  • Français


  • Extérieur du siège social de Citrix Systems à Santa Clara, Californie. (Citrix Systems Inc./CC BY 3.0)

    Citrix a signalé jeudi une attaque DDoS qui frappait ses Citrix Application Delivery Controller (ADC), les produits réseau qui permettent aux équipes de sécurité et de réseau de gérer la vitesse de livraison et la qualité des applications aux utilisateurs finaux.

    Selon l’avis de menace Citrix, l’attaquant ou les bots peuvent submerger le débit du réseau Citrix ADC Datagram Transport Layer Security (DTLS), conduisant potentiellement à l’épuisement de la bande passante sortante. Citrix a déclaré que les organisations disposant d’une bande passante limitée semblent avoir plus de difficultés avec cette attaque.

    Tôt ce matin, Citrix a déclaré que l’attaque était limitée à un petit nombre de clients dans le monde. Le fournisseur a également ajouté qu’il n’y a pas de vulnérabilités Citrix connues associées à cet événement. Citrix a déclaré que si l’équipe de réponse de sécurité Citrix découvre qu’un produit devient vulnérable aux attaques DDoS en raison d’un défaut du logiciel Citrix, les informations sur les produits concernés seront publiées sous forme de bulletin de sécurité.

    Citrix recommande aux équipes de sécurité de rester informées des indicateurs d’attaque et de surveiller leurs systèmes. Pour déterminer si un ADC est ciblé par cette attaque, Citrix a déclaré que les équipes de sécurité devraient surveiller le volume du trafic sortant pour détecter toute anomalie ou pics importants.

    Pour remédier à la situation, les clients Citrix impactés par cette attaque peuvent désactiver temporairement DTLS pour arrêter une attaque et éliminer la vulnérabilité à l’attaque. La désactivation du protocole DTLS peut entraîner une dégradation limitée des performances des applications utilisant DTLS dans l’environnement d’un client. L’ampleur de la dégradation dépend de plusieurs variables. Si l’environnement de l’entreprise n’utilise pas DTLS, la désactivation temporaire du protocole n’aura aucun impact sur les performances.

    John Hammond, chercheur principal en sécurité chez Huntress, a déclaré que le récent avis de menace de Citrix pour l’attaque DDoS affectant les ADC Citrix laisse les professionnels de la sécurité dans une impasse. Citrix a déclaré qu’ils disposeraient d’une mise à jour pour empêcher cette attaque d’ici le 12 janvier 2021, mais Hammond a souligné que cela donnait aux attaquants une fenêtre d’opportunité importante.

    «Alors qu’un correctif temporaire pour désactiver DTLS est disponible, il crée une bosse momentanée dans le trafic et peut nuire aux performances», a déclaré Hammond. «Les propriétaires de réseau et les praticiens de la sécurité doivent peser le risque et prendre une décision appropriée dans le contexte de leur propre environnement. Malheureusement, il s’agit d’un autre avis dans une longue liste d’expositions où nous essayons de rattraper le retard sur la sécurité des logiciels. Pour les professionnels de la sécurité d’aujourd’hui, cela se résume aux principes de base séculaires et éprouvés: évaluer le risque, surveiller la situation, rester vigilant et mettre à jour lorsque les fabricants publient un correctif. »

    Jonathan Meyers, ingénieur infrastructure principal chez Cybrary, a ajouté que les rapports initiaux montrent que si le client avait le ClientBonjourVérifier option activée, cela aurait empêché cette attaque. Cependant, Meyers a déclaré qu’il y avait des rapports selon lesquels un bogue dans certaines versions du logiciel – une fuite de mémoire possible car cela prend quelques heures – a provoqué le crash du serveur lors de l’activation de cette option.

    “Il est important de noter que cela aurait dû être en premier lieu”, a déclaré Meyers. «À ce stade, il semble que la seule atténuation consiste à désactiver DTLS et à le laisser revenir à TLS (DTLS est essentiellement TLS sur UDP). De plus, n’oubliez pas la technique séculaire de la liste blanche des adresses IP dans votre pare-feu ou de la liste noire de gros morceaux d’adresses, si votre configuration le permet. »

    Selon BleepingComputer, les rapports de l’attaque ont commencé venant le 21 décembre. Les clients Citrix ont signalé une attaque DDOS Amplify en cours sur UDP / 443 contre les périphériques Citrix (NetScaler) Gateway.

    Source

    L'équipe de Comparaland

    L'équipe rédactionnnelle du site

    Pour contacter personnellement le taulier :

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *