Citrix подтвердила DDoS-атаку с использованием контроллеров ADC

Citrix подтвердила DDoS-атаку с использованием контроллеров ADC

Citrix подтвердила DDoS-атаку с использованием контроллеров ADC

Злоумышленники атакуют шлюзы пользователей Citrix, пытаясь вывести их из строя путем создания перегрузок на каналах связи. Усилить DDoS-поток помогают невольные пособники дидосеров — контроллеры доставки приложений Citrix ADC (ранее NetScaler ADC) с включенной поддержкой DTLS.

Протокол DTLS (Datagram Transport Layer Security) основан на потоковом протоколе TLS и предназначен для защиты коммуникаций, осуществляемых с помощью датаграмм. В сетях, использующих платформу доставки приложений и десктопов Citrix, он гарантирует безопасность EDT-соединений (Enlightened Data Transport — проприетарный транспортный протокол, работающий поверх UDP).

Первые признаки DDoS-атаки, нацеленной на устройства Citrix (NetScaler) Gateway, появились в субботу вечером, 19 декабря. Потоки мусорных пакетов были замечены на порту UDP/443, который используют службы DTLS и EDT. По всей видимости, злоумышленники пытались таким образом забить каналы связи: результат вредоносных действий проявлялся ярче на каналах с невысокой пропускной способностью.

Через несколько дней Citrix выпустила информационный бюллетень, признав факт DDoS-атаки. В этом документе сказано, что инцидент затронул ограниченное число пользователей, но опасен для всех ADC с включенной поддержкой DTLS.

Сведений об использовании известных уязвимостей в текущей атаке у Citrix пока нет. Тем не менее, разработчики решили усовершенствовать функциональность DTLS, ограничив возможности для злоупотреблений. Выпуск обновлений для прошивок ADC поддерживаемых версий запланирован на 12 января.

В ожидании патча пользователям рекомендуется внимательно мониторить исходящий трафик, обращая внимание на аномалии и неожиданные всплески. Такие изменения могут свидетельствовать об использовании ADC для усиления DDoS-потока.

В качестве временной меры защиты можно отключить DTLS с помощью команды set vpn vserver -dtls OFF. Правда, деактивация защитного протокола может повлечь некоторое снижение производительности использующих его приложений. Тем, для кого это неприемлемо, следует обратиться за советом в техподдержку Citrix.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Навязчивый christmas.exe в Windows 11 оказался не вредоносом, а акцией ASUS

Christmas.exe в Диспетчере задач Windows 11 напугал многих пользователей своим поведением: процесс выводит на половину экрана баннер с рождественским венком. Как оказалось, это не вредоносная программа, а промоакция от тайваньского техногиганта ASUS.

Само собой, странно наблюдать огромный баннер сразу после включения компьютера, поэтому реакцию пользователей на навязчивую реализацию акции ASUS вполне можно понять.

Помимо основного баннера, есть ещё ряд моментов, демонстрирующих совсем уж неприличное поведение процесса christmas.exe: иногда он выводит всплывающие окна при запуске игр, а в некоторых случаях — приводит к сбоям в работе приложений.

Например, на одном из скриншотов, который приводит издание Windows Latest, видно, что баннер закрывает по меньшей мере треть экрана.

 

На площадке Reddit в этой ветке можно найти мнения пользователей и почитать разное в адрес промоакции ASUS. Как выяснили любители Windows, навязчивая активность связана с двумя исполняемыми файлами:

  • C:\ProgramData\ASUS\FestsEffect\data\HappyNewYear\HappyNewYear.exe
  • C:\ProgramData\ASUS\FestsEffect\data\Christmas\christmas.exe

 

Чтобы отключить эту красоту, придётся покопаться в ASUS BIOS и деактивировать Armoury Crate:

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru