Citrix подтвердила DDoS-атаку с использованием контроллеров ADC

Citrix подтвердила DDoS-атаку с использованием контроллеров ADC

Злоумышленники атакуют шлюзы пользователей Citrix, пытаясь вывести их из строя путем создания перегрузок на каналах связи. Усилить DDoS-поток помогают невольные пособники дидосеров — контроллеры доставки приложений Citrix ADC (ранее NetScaler ADC) с включенной поддержкой DTLS.

Протокол DTLS (Datagram Transport Layer Security) основан на потоковом протоколе TLS и предназначен для защиты коммуникаций, осуществляемых с помощью датаграмм. В сетях, использующих платформу доставки приложений и десктопов Citrix, он гарантирует безопасность EDT-соединений (Enlightened Data Transport — проприетарный транспортный протокол, работающий поверх UDP).

Первые признаки DDoS-атаки, нацеленной на устройства Citrix (NetScaler) Gateway, появились в субботу вечером, 19 декабря. Потоки мусорных пакетов были замечены на порту UDP/443, который используют службы DTLS и EDT. По всей видимости, злоумышленники пытались таким образом забить каналы связи: результат вредоносных действий проявлялся ярче на каналах с невысокой пропускной способностью.

Через несколько дней Citrix выпустила информационный бюллетень, признав факт DDoS-атаки. В этом документе сказано, что инцидент затронул ограниченное число пользователей, но опасен для всех ADC с включенной поддержкой DTLS.

Сведений об использовании известных уязвимостей в текущей атаке у Citrix пока нет. Тем не менее, разработчики решили усовершенствовать функциональность DTLS, ограничив возможности для злоупотреблений. Выпуск обновлений для прошивок ADC поддерживаемых версий запланирован на 12 января.

В ожидании патча пользователям рекомендуется внимательно мониторить исходящий трафик, обращая внимание на аномалии и неожиданные всплески. Такие изменения могут свидетельствовать об использовании ADC для усиления DDoS-потока.

В качестве временной меры защиты можно отключить DTLS с помощью команды set vpn vserver -dtls OFF. Правда, деактивация защитного протокола может повлечь некоторое снижение производительности использующих его приложений. Тем, для кого это неприемлемо, следует обратиться за советом в техподдержку Citrix.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Украденные у Audi и Volkswagen данные уже продают на форуме

Только неделю назад представители концерна Volkswagen AG сообщили о взломе систем и утечке конфиденциальных данных. Теперь киберпреступники уже продают украденное добро на одном из популярных хакерских форумах.

Как отметили сотрудники Motherboard, изучившие выставленные на продажу данные, некая киберпреступница, действующая под псевдонимом «000» добавила в базу адреса электронной почты и идентификационные номера транспортного средства владельцев автомобилей.

Помимо этого, она опубликовала два образца, в которых уже находились полные имена, адреса электронной почты, почтовые адреса и телефонные номера. Именно эти данные, по словам представителей Volkwagen, и фигурировали в недавней крупной утечке.

Как отметил производитель автомобилей, злоумышленники украли и более личную информацию 90 тысяч пользователей. Например, данные о приобретении транспортного средства, о кредите или аренде.

Помимо этого, в ходе атаки преступники получили доступ к номерам водительских удостоверений ряда граждан США и Канады.

Продавец украденных данных отметил в беседе с Motherboard, что выставленная на продажу база не содержит номеров водительских удостоверений. По словам злоумышленницы, она просит 4-5 тысяч долларов за скомпрометированную информацию.

Напомним, что в недавней утечке Volkswagen и Audi пострадали более 3,3 миллионов текущих или потенциальных покупателей автомобилей Audi. Больше всего инцидент затронул американских граждан.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru