شرکت آمریکایی سیتریکس که در حوزه ارایه خدمات رایانه ای و شبکه فعالیت می کند، از مشتریان خود درخواست کرده هر چه سریعتر نسبت به دانلود و نصب بهروزرسانی های منتشر شده برای دستگاههای ADC (که از آنها برای تبدیل مقادیر آنالوگ دنیای واقعی به مقادیر دیجیتالی 0 و 1 استفاده میشود) و Gateway (سختافزاری برای ارتباط شبکه مخابراتی با سیستم تلفنی VOIP) این شرکت اقدام کنند. این درخواست با هدف جلوگیری از امکان سوءاستفاده از پروتکل امنیت لایه انتقال دیتاگرام (DTLS[1]) جهت اجرای حملات محرومسازی از سرویس توزیع شده (DDoS[2]) انجام شده است.
در دسامبر 2020، محققان امنیت سایبری هشدار دادند که هکرها شروع به سوءاستفاده از این پروتکل در دستگاههای سیتریکس کردهاند تا بتوانند بر شدت حملات DDoS خود بیفزایند. پس از این اطلاع رسانی، اولین موارد از حملات DDoS تقویت شده شناسایی شد و سیتریکس اعلام کرد این حملات بر تعداد کمی از مشتریان این شرکت تأثیرگذار بوده است.
اگرچه در حال حاضر آسیبپذیری شناخته شدهای در محصولات سیتریکس وجود ندارد اما این شرکت همچنان در حال طراحی یک راهکار دایمی برای محصولات ADS و Gateway خود است. این شرکت همچنین اعلام کرده طراحی این راهکار به بیش از یک ماه زمان نیاز دارد.
شایان ذکر است سوءاستفاده از محصولات سیتریکس برای تقویت حملات محروم سازی از سرویس توزیع شده، اولین بار در دسامبر 2020 میلادی توسط گروهی از محققان امنیتی و همچنین “Marco Hofmann” مدیر بخش فناوری اطلاعات شرکت نرمافزاری آلمانی ANAXCO GmbH شناسایی شد. او متوجه شد که این حمله، پورت UDP:443 را که در محصولات سیتریکس از آن استفاده میشود، هدف میگیرد. البته سایر محققان امنیت سایبری هم از 21 دسامبر، الگوهای مشابهی را در بعضی از حملات مشاهده کردند.
اصلاحیههای امنیتی
محققان متوجه یک آسیبپذیری امنیتی شده اند که بر پروتکل DTLS مورد استفاده در محصولات سیتریکس تأثیرگذار است. DTLS یک پروتکل ارتباطی بر مبنای پروتکل امنیت لایه انتقال یا TLS[3] است. این پروتکل با این هدف طراحی شده که برنامههای کاربردی از طریق آن با یکدیگر ارتباط برقرار کرده و سایر افراد قادر به شنود ارتباطات یا تفسیر پیامهای آنها نباشند.
معمولاً DTLS از پروتکل دیتاگرام کاربر استفاده میکند. از این رو مهاجمان هم از این پروتکل برای جعل آدرس دیتاگرام بستههای آیپی استفاده مینمایند. به این ترتیب امکان سرازیر کردن حجم انبوهی از ترافیک اینترنت به سمت شبکه و تقویت حمله DDoS برای مهاجمان سایبری فراهم میشود.
بر مبنای هشدار جدیدی که توسط سیتریکس منتشر شده، این شرکت تنظیمات جدیدی به اسم “HelloVerifyRequest” را برای هر پروفایل اضافه کرده تا مهاجمان دیگر امکان سوءاستفاده از این پروتکل را نداشته باشند. مشتریان سیتریکس که از پروتکل DTLS استفاده نمیکنند، در معرض خطر قرار ندارند. بنابراین آنها نیازی به نصب این اصلاحیه نداشته و میتوانند پروتکل DTLS را غیرفعال کنند تا مانع از تقویت این حملات شوند.
در حال حاضر برای محصولاتی که لیست آنها در زیر آمده، اصلاحیه منتشر شده است:
- Citrix ADC و Citrix Gateway 13.0-71.44 و نسخههای بعدی
- NetScaler ADC و NetScaler Gateway 12.1-60.19 و نسخههای بعدی
- NetScaler ADC و NetScaler Gateway 11.1-65.16 و نسخههای بعدی
سیتریکس به مشتریانی که تحت تأثیر این حملات قرار گرفتهاند، توصیه کرده محصولات مورد استفاده شان را زیر نظر گرفته تا بتوانند الگوهای غیرطبیعی ترافیک را در آنها شناسایی کنند. بنا بر اعلام این شرکت، «برای تشخیص اینکه محصولات ADC یا Gateway شرکت سیتریکس تحت تأثیر این حمله قرار گرفتهاند، حجم ترافیک خروجی را زیر نظر داشته تا بتوانند ناهنجاریها یا افزایش ناگهانی ترافیک خروجی را شناسایی کنند».
تقویت حملات DDoS
در شش ماهه اخیر، نهادهای دولتی و محققان امنیتی هشدار دادهاند که استفاده از فنون تقویتی منجر به قدرت گرفتن هر چه بیشتر حملات DDoS شده است.
FBI در ماه جولای اعلام کرده شاهد افزایش تعداد حملات DDoS تأثیرگذار بر سازمانهای آمریکایی بوده است. این نهاد گفته که مهاجمان برای اجرای حملات DDoS بزرگتر و مخربتر در حال تلاش برای سوءاستفاده از پروتکلهای داخلی شبکه هستند که با هدف کاهش هزینههای عملیاتی و سربار طراحی شدهاند. این تکنیک بدون اینکه به مصرف منابع زیادی نیاز داشته باشد، به تقویت چنین حملاتی کمک نموده و حتی امکان انجام حملات مخربتر را نیز فراهم می کند.
سازمان CISA نیز در ماه سپتامبر پس از انجام حمله DDoS بر ضد شرکت بورس اوراق بهادار نیوزلند که برای چندین روز معاملات این کشور را متوقف کرد، درباره این حملات هشدارهای لازم را داده است.
[1] Datagram Transport Layer Security
[2] distributed denial-of-service
[3] Transport Layer Security
منبع: bankinfosecurity