脅威アクターらは、Citrixのネットワーク機器「Citrix Application Delivery Controller」(ADC)を悪用し、ジャンクトラフィックを増幅、バウンスさせてDDoS攻撃を遂行する手法を発見したようだ。
提供:Citrix
攻撃者の詳細は現在も不明だが、複数の情報筋が米国時間12月24日に米ZDNetに語ったところによると、主な被害者には「Steam」や「Xbox」といったオンラインゲームサービスが含まれているという。
こうした攻撃は先週、ドイツのITシステム管理者であるMarco Hofmann氏によって初めて検出され、その情報が公開されている。
同氏は、この問題の根源がCitrix ADCデバイスのDTLSインターフェースにあることを突き止めた。
DTLS、すなわちDatagram Transport Layer Securityはいわば、UDPという転送プロトコル上でTLSプロトコルを実装したものだ。なおUDPは、TCPほど信頼性が要求されない場合に用いられるプロトコルであり、ストリーミングといった用途に適している。
DTLSは、UDPベースの他のプロトコルと同様に、スプーフィング(なりすまし)が可能であるため、DDoS攻撃のトラフィック増幅ベクターとして悪用できる。
つまり、攻撃者がDTLSプロトコルをサポートしているデバイスに向けて、小さなDTLSパケットを送信するだけで、なりすましたIPアドレス(すなわちDDoS攻撃の被害者)に向けて、そのパケットの数倍にもなるパケットが送り付けられるというわけだ。
特定プロトコルの倍率係数は、最初に送り込んだパケットが何倍に増幅されるのかによって求められる。DTLSをベースにした過去のDDoS攻撃における倍率係数はたいていの場合、もともとのパケットの4、5倍になっていた。
しかしHofmann氏が22日に報告したところによると、Citrix ADCデバイスのDTLS実装は倍率係数が35倍にも達していると見られ、DDoS攻撃用の増幅ベクターとして最も高い攻撃力を引き出せるものの1つであることが分かったという。
Citrixも問題を確認
複数の報告を受け、Citrixも24日に問題を確認し、年末年始の休暇時期を挟み、2021年1月中旬に問題を修正すると約束した。
同社によると、「世界各地の少数の顧客」がこのDDoS攻撃ベクターの踏み台にされていると確認できたという。
攻撃者がCitrix ADCデバイスを悪用することで、その上流ネットワークにおける帯域幅が消費され、追加コストがかかるとともに、ADC本来の動作がブロックされる可能性もある。
なお、Citrixが公式の緩和策を準備するまでに実行できる一時的な対策として、非公式ながら2つの手法がTwitter上で語られている。
1つは、Citrix ADCのDTLSインターフェースを使用していないのであれば、それを無効化するというものだ。
もう1つとして、DTLSインターフェースを使用している場合、外部からのDTLS接続要求時に認証を強制するというワークアラウンドも推奨されている。ただし、これによりデバイスのパフォーマンス低下が引き起こされる可能性もある。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。