Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Ataque DDoS amplificado contra Citrix ADC y Gateway

Fecha de publicación 28/12/2020
Importancia
4 - Alta
Recursos Afectados
  • Citrix ADC (Application Delivery Controller),
  • Citrix Gateway.

En este momento, el alcance del ataque se limita a un pequeño número de clientes en todo el mundo.

Descripción

Citrix ha detectado un patrón de ataques DDoS que están utilizando el protocolo DTLS (Datagram Transport Layer Security) como vector de amplificación.

Solución

[Actualización 05/01/2021]: Actualizar a las siguientes versiones, disponibles en la página de descargas de Citrix

  • Citrix ADC y Citrix Gateway, versión 13.0-71.44 y posteriores;
  • NetScaler ADC y NetScaler Gateway, versión 12.1-60.19 y posteriores;
  • NetScaler ADC y NetScaler Gateway, versión 11.1-65.16 y posteriores.

Para los clientes que no usen DTLS, se recomienda deshabilitarlo a través del siguiente comando CLI:

set vpn vserver <vpn_vserver_name> -dtls OFF

Si está ejecutando alguna aplicación que deba usar EDT (Enlightened Data Transport), o si no puede desactivar el DTLS, póngase en contacto con el Soporte Técnico de Citrix para hablar de su entorno.

Detalle

Un atacante podría sobrecargar el rendimiento de la red DTLS de Citrix ADC, lo que podría llevar a un agotamiento del ancho de banda de salida. El efecto de este ataque parece ser más prominente en conexiones con un ancho de banda limitado. Para determinar si un ADC es objetivo de este ataque, se debe monitorizar el volumen de tráfico de salida para detectar cualquier anomalía significativa o picos.

Encuesta valoración