[JustisCERT-varsel] [#001-2021] [TLP:CLEAR] Citrix/NetScaler ADC og Citrix/NetScaler Gateway kan benyttes i tjenestenektangrep (DDoS)

JustisCERT ønsker å varsle om en sårbarhet i Citrix/NetScaler ADC og Citrix/NetScaler Gateway [1] som blir aktivt utnyttet [2]. Sårbarheten tillater at tredjepart kan benytte Citrix-løsningene i distribuerte tjenestenektangrep (DDoS) dersom DTLS er tilgjengelig. Indikasjoner på utnyttelse av sårbarheten er unormalt stor mengde utgående trafikk fra enheten. I noen tilfeller så mye at utgående linje fylles og blir utilgjengelig for annen trafikk.

Berørte produkter er:

• Citrix ADC og Citrix Gateway 13.0-71.44 og nyere
• NetScaler ADC og NetScaler Gateway 12.1-60.19 og nyere
• NetScaler ADC og NetScaler Gateway 11.1-65.16 og nyere

Anbefalinger:

• Skru av DTLS dersom det er mulig (blokker også UDP:443 til/fra Citrix-servere i sentral FW dersom det er mulig)
• Dersom DTLS ikke kan skrus av, installer patch fra Citrix
• Prioriter systemer som kan nås fra internett først
• Ikke åpne for flere porter/tjenester/host/destination enn det som er absolutt nødvendig i brannmurer
• Aktiver IPS-signaturer/Geo-blokking/annen beskyttelse i brannmurer som kan bidra til å beskytte internetteksponerte løsninger

Kilder:

[1] https://support.citrix.com/article/CTX289674

[2] https://www.meinekleinefarm.net/potentially-ongoing-worldwide-udp443-edt-ddos-amplify-attack-against-citrix-netscaler-gateway/