攻击者滥用 Citrix NetScaler 设备 0day，发动DDoS放大攻击

Citrix 公司表示，“攻击者或自动程序可导致 Citrix ADC （Datagram 传输层安全）网络崩溃，从而导致出站宽带耗尽。该攻击似乎对带宽有限的连接产生的影响更大。”ADC 是专用的网络设备，其功能是改善通过 Web 交付给最终用户的应用程序的性能、安全性和可用性。

Citrix 指出，目前正在监控该事件并且正在持续调查它对 Citrix ADC 的影响。该公司表示，“该攻击仅限于全球的少数客户。”德国软件公司 ANAXCO GmbH 的 IT 管理员 Marco Hofmann 指出，至少从12月19日起，就有多份报告表示，存在通过 UDP/443 对 Citrix (NetScaler) Gateway 设备的 DDoS 放大攻击。

DTLS 基于传输层安全 (TLS) 协议，旨在通过安全的通信方式，阻止窃听、篡改或信息伪造等。由于 DTLS 使用的是无连接的 UDP 协议，因此攻击者易于欺骗 IP 数据报包并包含一个任意的源 IP 地址。

因此，当 Citrix ADC 遭泛滥成堆的 DTLS 数据包（其源地址被伪造称受害者的 IP 地址）时，引发的响应会导致宽带过于饱和，从而形成 DDoS 条件。

Citrix 目前正在增强 DTLS 以消除该攻击的感染性，补丁预计在2021年1月发布。为判断 Citrix ADC 设备是否遭攻击，思科建议密切关注任何重大的异常出站流量情况。

同时，受影响的客户在等待补丁期间，可禁用 DTLS，方法是在 Citrix ADC 上运行命令：set vpn vserver <vpn_vserver_name> -dtls OFF。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。