هشدارهای افتایی
همان‌طور که پیش‌تر در اینجا اشاره شد مهاجمان، محصولات Citrix ADC و Citrix Gateway را هدف حمله DDoS قرار داده‌اند. در نتیجه اجرای این حمله، توان عملیاتی Citrix ADC DTLS کاهش یافته و به‌طور بالقوه پهنای باند خروجی اشغال می‌شود. پیامد این حمله بر روی ارتباطات با پهنای باند محدود، شدیدتر است.
در جریان این حمله، مهاجمان با سوءاستفاده از DTLS، آن دسته از محصولات شبکه‌ای Application Delivery Controller – به اختصار ADC – را که پودمان EDT در آنها فعال است هدف حملات DDoS قرار می‌دهند.
Datagram Transport Layer Security – به اختصار DTLS – پودمانی است که هدف آن امن کردن ارتباطات برنامه‌ها و سرویس‌های حساس به تأخیر (Delay-sensitive) در بستر Datagram Transport است. 
DTLS بر پایه پودمان Transport Layer Security – به اختصار TLS – توسعه داده شده و برای جلوگیری از شنود و دستکاری شدن داده‌ها و به‌طور کلی به‌منظور حفاظت از محرمانگی داده‌ها طراحی شده است.
Citrix در توصیه‌نامه خود دامنه این حمله را به محدود به تعداد کمی از مشتریانش خود دانسته است. همچنین، به گفته این شرکت، مهاجمان از آسیب‌پذیری‌های شناخته شده در محصولات Citrix در اجرای این حمله بهره‌جویی (Exploit) نکرده‌اند.
Citrix به راهبران توصیه می‌کند با آگاهی از اجرای این حمله، سامانه‌های خود را بررسی کرده و از به‌روز بودن آنها اطمینان حاصل کنند.
به گفته Citrix برای تشخیص آن‌که Citrix ADC یا Citrix Gateway هدف این حمله قرار گرفته، می‌بایست ترافیک خروجی از لحاظ غیرعادی بودن رصد شود.
در گزارش پیشین مرکز مدیریت راهبردی افتا اشاره شد قرار بود شرکت Citrix با بهبود پودمان DTLS موجب شود که اجرای چنین حملاتی بر ضد آن بی‌اثر شود. اکنون این شرکت قابلیتی با عنوان را HelloVerifyRequest در نسخ جدید ثابت‌افزارهای خود لحاظ کرده است.
امکان جدید در نسخ زیر لحاظ شده است:
  •     ‌Citrix ADC and Citrix Gateway 13.0-71.44+
  •     NetScaler ADC and NetScaler Gateway 12.1-60.19+
  •     NetScaler ADC and NetScaler Gateway 11.1-65.16+
آخرین نسخ در مسیر زیر قابل دسترس است: مشتریانی که از DTLS استفاده نمی‌کنند نیازی به ارتقا به نسخه حاوی HelloVerifyRequest نخواهند داشت. در عوض توصیه می‌شود با اجرای فرمان زیر در رابط خط فرمان DTLS غیرفعال شود:
set vpn vserver <vpn_vserver_name> -dtls OFF
اما به مشتریانی که از DTLS استفاده می‌کنند توصیه شده تا با ارتقا به نسخ جدید، HelloVerifyRequest را در هر پروفایل DTLS فعال کنند.
بدین‌منظور، با اجرای فرمان زیر فهرست تمامی پروفایل‌های DTLS مرور شود:
show dtlsProfile
 
برای هر DTLS از طریق فرمان زیر تنظیم HelloVerifyRequest فعال شود:
set dtlsProfile <dtls_Profile_Name> -HelloVerifyRequest ENABLED
 

با اجرای فرمان زیر پیکربندی ذخیره شود:
Savec
 

برای اطمینان از فعال بودن HelloVerifyRequest مجدداً فرمان زیر اجرا شود:
show dtlsProfile
 

در صورتی که بنا به توصیه‌نامه پیشین Citrix پودمان DTLS غیرفعال شده با اجرای فرمان زیر می‌توان پروفایل DTLS را مجدد فعال کرد:
set vpn vserver <vpn_vserver_name> -dtls ON
توصیه‌نامه Citrix در لینک زیر قابل دریافت است:
(با تشکر از شرکت مهندسی شبکه گستر برای همکاری در تهیه این گزارش)
 

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.