راهکار جدید Citrix برای رویارویی با حملات مبتنی بر DTLS
کد مطلب: 17420
تاریخ انتشار : دوشنبه ۲۲ دی ۱۳۹۹ ساعت ۱۰:۳۴
 
شرکت Citrix با افزودن قابلیتی با عنوان HelloVerifyRequest در نسخ جدید ثابت‌افزارهای خود به بهبود پودمان DTLS در برابر حملات مبتنی بر DTLS پرداخت.
راهکار جدید Citrix برای رویارویی با حملات مبتنی بر DTLS
 
 
Share/Save/Bookmark
شرکت Citrix با افزودن قابلیتی با عنوان HelloVerifyRequest در نسخ جدید ثابت‌افزارهای خود به بهبود پودمان DTLS در برابر حملات مبتنی بر DTLS پرداخت.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، مهاجمان، محصولات Citrix ADC و Citrix Gateway را هدف حمله DDoS قرار داده‌اند و درنتیجه اجرای این حمله، توان عملیاتی Citrix ADC DTLS کاهش یافته و به‌طور بالقوه پهنای باند خروجی اشغال می‌شود. پیامد این حمله بر روی ارتباطات با پهنای باند محدود، شدیدتر است.

در جریان این حمله، مهاجمان با سوءاستفاده از DTLS، آن دسته از محصولات شبکه‌ای Application Delivery Controller – به اختصار ADC – را که پودمان EDT در آنها فعال است هدف حملات DDoS قرار می‌دهند.

Datagram Transport Layer Security – به اختصار DTLS – پودمانی است که هدف آن امن کردن ارتباطات برنامه‌ها و سرویس‌های حساس به تأخیر (Delay-sensitive) در بستر Datagram Transport است.

DTLS بر پایه پودمان Transport Layer Security – به اختصار TLS – توسعه داده شده و برای جلوگیری از شنود و دستکاری شدن داده‌ها و به‌طور کلی به‌منظور حفاظت از محرمانگی داده‌ها طراحی شده است.

Citrix در توصیه‌نامه خود دامنه این حمله را به محدود به تعداد کمی از مشتریانش خود دانسته است. همچنین به گفته این شرکت، مهاجمان از آسیب‌پذیری‌های شناخته شده در محصولات Citrix در اجرای این حمله بهره‌جویی (Exploit) نکرده‌اند.

Citrix به راهبران توصیه می‌کند با آگاهی از اجرای این حمله، سامانه‌های خود را بررسی کرده و از به‌روز بودن آنها اطمینان حاصل کنند.

به گفته Citrix برای تشخیص آنکه Citrix ADC یا Citrix Gateway هدف این حمله قرار گرفته، باید ترافیک خروجی از لحاظ غیرعادی بودن رصد شود.

قرار بود شرکت Citrix با بهبود پودمان DTLS موجب شود که اجرای چنین حملاتی بر ضد آن بی‌اثر شود. اکنون این شرکت قابلیتی با عنوان را HelloVerifyRequest در نسخ جدید ثابت‌افزارهای خود لحاظ کرده است.

امکان جدید در نسخ زیر لحاظ شده است:
‌Citrix ADC and Citrix Gateway ۱۳,۰-۷۱.۴۴+
NetScaler ADC and NetScaler Gateway ۱۲,۱-۶۰.۱۹+
NetScaler ADC and NetScaler Gateway ۱۱,۱-۶۵.۱۶+

آخرین نسخ در مسیر زیر قابل دسترس است:
https://www.citrix.com/downloads

مشتریانی که از DTLS استفاده نمی‌کنند نیازی به ارتقا به نسخه حاوی HelloVerifyRequest نخواهند داشت. در عوض توصیه می‌شود با اجرای فرمان زیر در رابط خط فرمان DTLS غیرفعال شود:
set vpn vserver <vpn_vserver_name> -dtls OFF

اما به مشتریانی که از DTLS استفاده می‌کنند توصیه شده تا با ارتقا به نسخ جدید، HelloVerifyRequest را در هر پروفایل DTLS فعال کنند. بدین‌منظور، با اجرای فرمان زیر فهرست تمامی پروفایل‌های DTLS مرور شود:
show dtlsProfile

برای هر DTLS از طریق فرمان زیر تنظیم HelloVerifyRequest فعال شود:
set dtlsProfile <dtls_Profile_Name> -HelloVerifyRequest ENABLED

با اجرای فرمان زیر پیکربندی ذخیره شود:
Savec

برای اطمینان از فعال بودن HelloVerifyRequest مجدداً فرمان زیر اجرا شود:
show dtlsProfile

در صورتی که بنا به توصیه‌نامه پیشین Citrix پودمان DTLS غیرفعال شده با اجرای فرمان زیر می‌توان پروفایل DTLS را مجدد فعال کرد:
set vpn vserver <vpn_vserver_name> -dtls ON

توصیه‌نامه Citrix در لینک زیر قابل دریافت است:
https://support.citrix.com/article/CTX۲۸۹۶۷۴
مرجع : مرکز مدیریت راهبردی افتا