شرکت Citrix با افزودن قابلیتی با عنوان HelloVerifyRequest در نسخ جدید ثابتافزارهای خود به بهبود پودمان DTLS در برابر حملات مبتنی بر DTLS پرداخت.
منبع : مرکز مدیریت راهبردی افتا
شرکت Citrix با افزودن قابلیتی با عنوان HelloVerifyRequest در نسخ جدید ثابتافزارهای خود به بهبود پودمان DTLS در برابر حملات مبتنی بر DTLS پرداخت.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، مهاجمان، محصولات Citrix ADC و Citrix Gateway را هدف حمله DDoS قرار دادهاند و درنتیجه اجرای این حمله، توان عملیاتی Citrix ADC DTLS کاهش یافته و بهطور بالقوه پهنای باند خروجی اشغال میشود. پیامد این حمله بر روی ارتباطات با پهنای باند محدود، شدیدتر است.
در جریان این حمله، مهاجمان با سوءاستفاده از DTLS، آن دسته از محصولات شبکهای Application Delivery Controller – به اختصار ADC – را که پودمان EDT در آنها فعال است هدف حملات DDoS قرار میدهند.
Datagram Transport Layer Security – به اختصار DTLS – پودمانی است که هدف آن امن کردن ارتباطات برنامهها و سرویسهای حساس به تأخیر (Delay-sensitive) در بستر Datagram Transport است.
DTLS بر پایه پودمان Transport Layer Security – به اختصار TLS – توسعه داده شده و برای جلوگیری از شنود و دستکاری شدن دادهها و بهطور کلی بهمنظور حفاظت از محرمانگی دادهها طراحی شده است.
Citrix در توصیهنامه خود دامنه این حمله را به محدود به تعداد کمی از مشتریانش خود دانسته است. همچنین به گفته این شرکت، مهاجمان از آسیبپذیریهای شناخته شده در محصولات Citrix در اجرای این حمله بهرهجویی (Exploit) نکردهاند.
Citrix به راهبران توصیه میکند با آگاهی از اجرای این حمله، سامانههای خود را بررسی کرده و از بهروز بودن آنها اطمینان حاصل کنند.
به گفته Citrix برای تشخیص آنکه Citrix ADC یا Citrix Gateway هدف این حمله قرار گرفته، باید ترافیک خروجی از لحاظ غیرعادی بودن رصد شود.
قرار بود شرکت Citrix با بهبود پودمان DTLS موجب شود که اجرای چنین حملاتی بر ضد آن بیاثر شود. اکنون این شرکت قابلیتی با عنوان را HelloVerifyRequest در نسخ جدید ثابتافزارهای خود لحاظ کرده است.
امکان جدید در نسخ زیر لحاظ شده است: Citrix ADC and Citrix Gateway ۱۳,۰-۷۱.۴۴+ NetScaler ADC and NetScaler Gateway ۱۲,۱-۶۰.۱۹+ NetScaler ADC and NetScaler Gateway ۱۱,۱-۶۵.۱۶+
آخرین نسخ در مسیر زیر قابل دسترس است: https://www.citrix.com/downloads
مشتریانی که از DTLS استفاده نمیکنند نیازی به ارتقا به نسخه حاوی HelloVerifyRequest نخواهند داشت. در عوض توصیه میشود با اجرای فرمان زیر در رابط خط فرمان DTLS غیرفعال شود: set vpn vserver <vpn_vserver_name> -dtls OFF
اما به مشتریانی که از DTLS استفاده میکنند توصیه شده تا با ارتقا به نسخ جدید، HelloVerifyRequest را در هر پروفایل DTLS فعال کنند. بدینمنظور، با اجرای فرمان زیر فهرست تمامی پروفایلهای DTLS مرور شود: show dtlsProfile
برای هر DTLS از طریق فرمان زیر تنظیم HelloVerifyRequest فعال شود: set dtlsProfile <dtls_Profile_Name> -HelloVerifyRequest ENABLED
با اجرای فرمان زیر پیکربندی ذخیره شود: Savec
برای اطمینان از فعال بودن HelloVerifyRequest مجدداً فرمان زیر اجرا شود: show dtlsProfile
در صورتی که بنا به توصیهنامه پیشین Citrix پودمان DTLS غیرفعال شده با اجرای فرمان زیر میتوان پروفایل DTLS را مجدد فعال کرد: set vpn vserver <vpn_vserver_name> -dtls ON
توصیهنامه Citrix در لینک زیر قابل دریافت است: https://support.citrix.com/article/CTX۲۸۹۶۷۴