Seit dem Wochenende mehren sich die Berichte von unterschiedlichen, aber recht massiven Angriffen auf Citrix ADCs/Gateway, mittels Port-Scans auf die DTLS Schnittstelle. Dies führt unter anderem zu folgenden Situationen:
• Hohe Last auf den ADCs
• ggf. Paketverluste wenn die lizenzierte Bandbreite erreicht wird
• Router/FW Boxen vor den ADCs machen Probleme, bis hin zum Absturz (auch Palos betroffen)
Aktuell gibt es drei Wege, dies zu verhindern:
1. DTLS am ADC / Gateway disablen
2. Port 443 UDP (!) an der Firewall blocken
3. Am ADC das nsdtls_default_profile anpassen:
set ssl dtlsProfile nsdtls_default_profile -helloVerifyRequest ENABLED
Weitere Infos bietet auch der Artikel zum Blogbeitrag eines Citrix CTAs dazu.
UPDATE vom 4.1.2021: neue Firmware verfügbar
Seit dem 4.1.2021 ist nun das Citrix ADC CPX Release (Feature Phase) 13.0 Build 71.40/71.44 verfügbar auf der Citrix-Downloads-Seite. Weitere Infos bietet Citrix hier auf den Support-Seiten.
Bei Fragen unterstützen wir gerne!