Les appareils Citrix sont utilisés comme vecteurs d’attaque DDoS
La société Citrix travaille en ce moment sur un correctif, qui sera prêt pour l’an prochain. Deux pirates informatiques ont trouvé un moyen de mener une attaque DDoS par rebond à travers l’exploitation des équipements réseau Citrix ADC.
Il est vrai que les détails sur ces pirates sont encore flous, mais ce qui est clair, c’est que ces attaques DDoS ont principalement visé des services de jeux en ligne, dont Steam et Xbox. L’administrateur de systèmes informatiques allemand Marco Hofmann a dernièrement détecté les premières attaques. Celui-ci a remonté le problème jusqu’à l’interface DTLS sur les appareils ADC de Citrix.
DTLS, ou Datagram Transport Layer Security représente la version plus élaborée du protocole TLS mis en œuvre sur le protocole de transfert UDP plutôt que sur le protocole TCP, plus fiable. Tout comme l’ensemble des protocoles basés sur UDP, DTLS est vulnérable au spoofing et peut être utilisé comme un vecteur d’amplification DDoS. Ce qui signifie que les pirates peuvent envoyer des paquets DTLS à l’appareil compatible et que la réponse est renvoyée dans un paquet largement plus important vers une autre adresse IP (la victime de l’attaque DDoS).
Citrix a confirmé le problème et promet de publier un correctif à la mi-janvier 2021. L’entreprise a également précisé que le vecteur d’attaque DDoS a été utilisé contre « un nombre réduit de clients à l’échelle mondiale ». Lorsque les pirates abusent d’un appareil Citrix ADC, ils arrivent à finir par épuiser sa bande passante en amont, créant ainsi d’autres coûts et causant le blocage de l’activité légitime de l’appareil. Il existe deux solutions temporaires en attendant la diffusion des correctifs par Citrix :
- Désactiver l’interface Citrix ADC DTLS lors de son non-utilisation,
- Forcer l’appareil à authentifier les connexions DTLS entrantes si l’interface DTLS est nécessaire, bien que cela risque de dégrader les performances de l’appareil en conséquence.