TRUSSELVURDERING (TLP:CLEAR)

[JustisCERT-varsel] [#001-2021] Citrix/NetScaler ADC og Citrix/NetScaler Gateway kan benyttes i tjenestenektangrep (DDoS)

08-01-2021

JustisCERT ønsker å varsle om en sårbarhet i Citrix/NetScaler ADC og Citrix/NetScaler Gateway [1] som blir aktivt utnyttet [2]. Sårbarheten tillater at tredjepart kan benytte Citrix-løsningene i distribuerte tjenestenektangrep (DDoS) dersom DTLS er tilgjengelig. Indikasjoner på utnyttelse av sårbarheten er unormalt stor mengde utgående trafikk fra enheten. I noen tilfeller så mye at utgående linje fylles og blir utilgjengelig for annen trafikk.


Berørte produkter er:
•    Citrix ADC og Citrix Gateway 13.0-71.44 og nyere
•    NetScaler ADC og NetScaler Gateway 12.1-60.19 og nyere
•    NetScaler ADC og NetScaler Gateway 11.1-65.16 og nyere


Anbefalinger:
•    Skru av DTLS dersom det er mulig (blokker også UDP:443 til/fra Citrix-servere i sentral FW dersom det er mulig)
•    Dersom DTLS ikke kan skrus av, installer patch fra Citrix
•    Prioriter systemer som kan nås fra internett først
•    Ikke åpne for flere porter/tjenester/host/destination enn det som er absolutt nødvendig i brannmurer
•    Aktiver IPS-signaturer/Geo-blokking/annen beskyttelse i brannmurer som kan bidra til å beskytte internetteksponerte løsninger

 

Kilder

[1] https://support.citrix.com/article/CTX289674

[2] https://www.meinekleinefarm.net/potentially-ongoing-worldwide-udp443-edt-ddos-amplify-attack-against-citrix-netscaler-gateway/