사이버 공격자들이 시트릭스(Citrix) ADC 네트워킹 장비에 정크 웹 트래픽을 증폭해 DDoS 공격을 진행하고 있다.

공격자에 대한 세부 정보는 아직 알려지지 않았지만 시트릭스 기반 DDoS 공격의 피해자에는 스팀 및 Xbox와 같은 온라인 게임 서비스가 포함되어 있다.

시트릭스도 DDoS 공격 벡터가 전 세계의 소수 고객에게 악용되는 것을 목격했다고 밝혔다.

여러 보고서를 통해 시트릭스는 문제를 확인하고 2021년 1월 중순 겨울 휴가 이후 수정 사항을 발표할 것을 약속했다.

시트릭스 ADC 장치의 DTLS 인터페이스에 대한 문제다. DTLS(Datagram Transport Layer Security)는 보다 안정적인 TCP가 아닌 스트림 친화적인 UDP 전송 프로토콜에 구현된 TLS 프로토콜 버전이다. 모든 UDP 기반 프로토콜과 마찬가지로 DTLS는 스푸핑이 가능하며 DDoS 증폭 벡터로 사용할 수 있다.

공격자가 작은 DTLS 패킷을 DTLS 가능 장치로 보내고 그 결과를 스푸핑된 IP된 주소(DDoS 공격 피해자)로 몇 배 더 큰 패킷으로 반환할 수 있다는 것이다.

오리지널 패킷이 몇 배 확대되는지에 따라 특정 프로토콜의 증폭 계수가 결정된다. 과거 DTLS 기반 DDoS 공격의 경우 증폭 계수는 일반적으로 원래 패킷의 4~5배였다.

이 문제는 IT 관리자에게 장치 보안 자체보다는 비용 및 가동 시간에 관련하여 위험한 것으로 간주된다. 공격자가 시트릭스 ADC 장치를 악용하면 결국 업스트림 대역폭이 소모되어 추가 비용이 발생하고 ADC의 합법적인 활동을 차단할 수 있다.

시트릭스 공격을 완화하기 위해서는, 우선 사용하지 않은 경우 시트릭스 ADC DTLS 인터페이스를 비활성화 해야 한다.

다음은 DTLS 인터페이스가 필요한 경우 결과적으로 장치의 성능이 저하될 수 있지만 들어오는 DTLS 연결에 대해 인증을 하도록 하는 것이다.

★정보보안 대표 미디어 데일리시큐!★