آپدیت حیاتی محصولات سیتریکس

شرکت آمریکایی سیتریکس که در حوزه ارایه خدمات رایانه ای و شبکه فعالیت می کند، از مشتریان خود درخواست کرده هر چه سریعتر نسبت به دانلود و نصب به‌روزرسانی های منتشر شده برای دستگاه‌های ADC (که از آنها برای تبدیل مقادیر آنالوگ دنیای واقعی به مقادیر دیجیتالی ۰ و ۱ استفاده می‌شود) و Gateway (سخت‌افزاری برای ارتباط شبکه مخابراتی با سیستم تلفنی VOIP) این شرکت اقدام کنند. این درخواست با هدف جلوگیری از امکان سوءاستفاده از پروتکل امنیت لایه انتقال دیتاگرام (DTLS) جهت اجرای حملات محروم‌سازی از سرویس توزیع شده (DDoS) انجام شده است.

در دسامبر ۲۰۲۰، محققان امنیت سایبری هشدار دادند که هکرها شروع به سوءاستفاده از این پروتکل در دستگاه‌های سیتریکس کرده‌اند تا بتوانند بر شدت حملات DDoS خود بیفزایند. پس از این اطلاع رسانی، اولین موارد از حملات DDoS تقویت شده شناسایی شد و سیتریکس اعلام کرد این حملات بر تعداد کمی از مشتریان این شرکت تأثیرگذار بوده است.

اگرچه در حال حاضر آسیب‌پذیری شناخته شده‌ای در محصولات سیتریکس وجود ندارد اما این شرکت همچنان در حال طراحی یک راهکار دایمی برای محصولات ADS و Gateway خود است. این شرکت همچنین اعلام کرده طراحی این راهکار به بیش از یک ماه زمان نیاز دارد.

شایان ذکر است سوءاستفاده از محصولات سیتریکس برای تقویت حملات محروم سازی از سرویس توزیع شده، اولین بار در دسامبر ۲۰۲۰ میلادی توسط گروهی از محققان امنیتی و همچنین “Marco Hofmann” مدیر بخش فناوری اطلاعات شرکت نرم‌افزاری آلمانی ANAXCO GmbH شناسایی شد. او متوجه شد که این حمله، پورت UDP:443 را که در محصولات سیتریکس از آن استفاده می‌شود، هدف می‌گیرد. البته سایر محققان امنیت سایبری هم از ۲۱ دسامبر، الگوهای مشابهی را در بعضی از حملات مشاهده کردند.

اصلاحیه‌های امنیتی

محققان متوجه یک آسیب‌پذیری امنیتی شده اند که بر پروتکل DTLS مورد استفاده در محصولات سیتریکس تأثیرگذار است. DTLS یک پروتکل ارتباطی بر مبنای پروتکل امنیت لایه انتقال یا TLS است. این پروتکل با این هدف طراحی شده که برنامه‌های کاربردی از طریق آن با یکدیگر ارتباط برقرار کرده و سایر افراد قادر به شنود ارتباطات یا تفسیر پیام‌های آنها نباشند.

معمولاً DTLS از پروتکل دیتاگرام کاربر استفاده می‌کند. از این رو مهاجمان هم از این پروتکل برای جعل آدرس دیتاگرام بسته‌های آی‌پی استفاده می‌نمایند. به این ترتیب امکان سرازیر کردن حجم انبوهی از ترافیک اینترنت به سمت شبکه و تقویت حمله DDoS برای مهاجمان سایبری فراهم می‌شود.

بر مبنای هشدار جدیدی که توسط سیتریکس منتشر شده، این شرکت تنظیمات جدیدی به اسم “HelloVerifyRequest” را برای هر پروفایل اضافه کرده تا مهاجمان دیگر امکان سوءاستفاده از این پروتکل را نداشته باشند. مشتریان سیتریکس که از پروتکل DTLS استفاده نمی‌کنند، در معرض خطر قرار ندارند. بنابراین آنها نیازی به نصب این اصلاحیه نداشته و می‌توانند پروتکل DTLS را غیرفعال کنند تا مانع از تقویت این حملات شوند.

در حال حاضر برای محصولاتی که لیست آنها در زیر آمده، اصلاحیه منتشر شده است:

• Citrix ADC و Citrix Gateway 13.0-71.44 و نسخه‌های بعدی
• NetScaler ADC و NetScaler Gateway 12.1-60.19 و نسخه‌های بعدی
• NetScaler ADC و NetScaler Gateway 11.1-65.16 و نسخه‌های بعدی

سیتریکس به مشتریانی که تحت تأثیر این حملات قرار گرفته‌اند، توصیه کرده محصولات مورد استفاده شان را زیر نظر گرفته تا بتوانند الگوهای غیرطبیعی ترافیک را در آنها شناسایی کنند. بنا بر اعلام این شرکت، «برای تشخیص اینکه محصولات ADC یا Gateway شرکت سیتریکس تحت تأثیر این حمله قرار گرفته‌اند، حجم ترافیک خروجی را زیر نظر داشته تا بتوانند ناهنجاری‌ها یا افزایش ناگهانی ترافیک خروجی را شناسایی کنند».

تقویت حملات DDoS

در شش ماهه اخیر، نهادهای دولتی و محققان امنیتی هشدار داده‌اند که استفاده از فنون تقویتی منجر به قدرت گرفتن هر چه بیشتر حملات DDoS شده است.

FBI در ماه جولای اعلام کرده شاهد افزایش تعداد حملات DDoS تأثیرگذار بر سازمان‌های آمریکایی بوده است. این نهاد گفته که مهاجمان برای اجرای حملات DDoS بزرگتر و مخرب‌تر در حال تلاش برای سوءاستفاده از پروتکل‌های داخلی شبکه هستند که با هدف کاهش هزینه‌های عملیاتی و سربار طراحی شده‌اند. این تکنیک بدون اینکه به مصرف منابع زیادی نیاز داشته باشد، به تقویت چنین حملاتی کمک نموده و حتی امکان انجام حملات مخرب‌تر را نیز فراهم می کند.

سازمان CISA نیز در ماه سپتامبر پس از انجام حمله DDoS بر ضد شرکت بورس اوراق بهادار نیوزلند که برای چندین روز معاملات این کشور را متوقف کرد، درباره این حملات هشدارهای لازم را داده است.

منبع: https://www.bankinfosecurity.com/citrix-updates-adc-products-to-help-block-ddos-attacks-a-15700