Citrix는 공격자가 여러 대상에 대해 DDoS(분산 서비스 거부) 공격을 시작하는 데 악용하는 NetScaler Application Delivery Controlle(ADC) 장치에 영향을 미치는 보안 문제에 대해 긴급 권고 사항을 발표했다.
이 회사는 "공격자 또는 봇이 Citrix ADC [Datagram Transport Layer Security] 네트워크 처리량을 압도하여 아웃바운드 대역폭이 고갈될 가능성이 있습니다.", "이 공격의 영향은 대역폭이 제한된 연결에서 더욱 두드러지는 것으로 보입니다."라고 지적했다.
ADC는 웹을 통해 최종 사용자에게 제공되는 애플리케이션의 성능, 보안 및 가용성을 향상하는 기능을 갖춘 특수 목적의 네트워킹 어플라이언스다.
데스크톱 가상화 및 네트워킹 서비스 제공 업체는 이 사건을 모니터링하고 있으며 Citrix ADC에 미치는 영향을 계속 조사하고 있다며 이 공격은 전 세계 소수의 고객에게만 국한된다고 덧붙였다.
독일 소프트웨어 회사인 ANAXCO GmbH의 IT 관리자 Marco Hofmann에 따르면 적어도 12월 19일부터 Citrix(NetScaler) Gateway 장치에 대한 UDP/443을 통한 DDoS 증폭 공격이 여러 번 보고된 후 이 문제가 드러났다고 한다.
[그림1. Citrix ADC DDoS 공격]
데이터그램 전송 계층 보안 또는 DTLS는 도청, 변조 또는 메시지 위조를 방지하도록 설계된 방식으로 안전한 통신을 제공하는 것을 목표로 하는 전송 계층 보안(TLS) 프로토콜을 기반으로 한다.
DTLS는 connectionless 사용자 데이터그램 프로토콜(UDP)을 사용하기 때문에 공격자가 IP 패킷 데이터그램을 스푸핑하고 임의 소스 IP 주소를 포함하기가 쉽다.
따라서 Citrix ADC가 source IP 주소가 공격 대상자 IP 주소로 위조된 DTLS 패킷의 압도적인 흐름이 쇄도할 경우, 유도된 응답은 대역폭의 과포화로 이어져 DDoS 상태가 발생한다.
[그림2. Citrix NetScaler 장치]
Citrix는 현재 이 공격에 대한 취약점을 제거하기 위해 DTLS를 개선하기 위해 노력하고 있으며, 2021년 1월 12일에 패치가 출시될 예정이다.
Citrix ADC 장비가 공격 대상인지 여부를 확인하려면 아웃바운드 트래픽 볼륨에서 심각한 문제나 급증에 대한 상황을 주시하는 것이 좋다.
그동안 공격에 영향을 받은 고객은 Citrix ADC에서 "set vpn vserver -dtls OFF" 명령을 실행하여 Citrix의 영구 수정이 보류 중인 동안 DTLS를 사용하지 않도록 설정할 수 있다.
출처
https://thehackernews.com/2020/12/citrix-adc-ddos-attack.html
https://www.bleepingcomputer.com/news/security/citrix-confirms-ongoing-ddos-attack-impacting-netscaler-adcs/
https://www.zdnet.com/article/citrix-devices-are-being-abused-as-ddos-attack-vectors/
https://dailysecu.com/news/articleView.html?idxno=118952
