Cyberthreat.id – Pakar teknologi informasi asal Jerman, Marco Hofmann, menemukan aktivitas peretas untuk melancarkan dan memperkuatkan serangan DDoS—membanjiri sebuah situs web dengan lalu lintas palsu—keperalatan jaringan Citrix ADC.

Menurut Marco, sebagian besar korban serangan DDoS berbasis Citrix ini ialah layanan game online, seperti Steam dan Xbox. Serangan pertama terdeteksi pekan lalu dan didokumentasikan oleh Marco, tulis ZDNet, diakses Jumat (25 Desember 2020).

Marco melacak masalh tersebut ke antarmuka Datagram Transport Layer Security (DTLS)— protokol komunikasi yang dirancang untuk melindungi privasi data dan mencegah penyadapan dan gangguan—pada perangkat Citrix ADC.

DTLS adalah versi lain dari protokol Transport Layer Security (TLS)—protokol kriptogaris untuk mengenkripsi komunikasi melalui jaringan komputer—yang diimplementasikan pada protokol transfer User Datagram Protocol (UDP).

UDP adalah salah satu jenis protokol internet yang memungkinkan sebuah perangkat lunak pada komputer bisa mengirimkan pesan ke komputer lain melalui jaringan tanpa perlu ada komunikasi awal.

Sama seperti semua protokol berbasis UDP, DTLS dapat dipalsukan dan dapat digunakan sebagai vektor amplifikasi DDoS.

Artinya, penyerang dapat mengirim paket DTLS kecil ke perangkat yang mendukung DTLS dan hasilnya akan dikembalikan dalam paket yang berkali-kali lipat lebih besar ke alamat IP palsu (korban serangan DDoS), tulis ZDNet.

Untuk serangan DDoS berbasis DTLS sebelumnya, faktor amplifikasi biasanya 4 atau 5 kali paket asli.

Namun, Hofmann melaporkan bahwa implementasi DTLS pada perangkat Citrix ADC tampaknya menghasilkan 35 kali lebih besar, menjadikannya salah satu vektor amplifikasi DDoS yang paling kuat.

Sebelumnya, Citrix juga telah mengonfirmasi masalah tersebut dan berjanji untuk merilis perbaikan pada pertengahan Januari 2020. Perusahaan mengatakan telah melihat vektor serangan DDoS yang disalahgunakan terhadap "sejumlah kecil pelanggan di seluruh dunia."

Masalah ini dianggap berbahaya bagi administrator TI, tulis ZDNet, karena masalah biaya dan waktu operasional, bukan keamanan perangkat.

Karena penyerang menyalahgunakan perangkat Citrix ADC, mereka mungkin akan menghabiskan bandwidth “upstream”—kecepatan aliran data dari komputer lokal ke komputer lain yang terhubung melalui sebuah network—menimbulkan biaya tambahan dan memblokir aktivitas yang sah dari ADC.

Sampai Citrix menyiapkan mitigasi, dua perbaikan sementara yang bisa dilakukan ialah (a) menonaktifkan antarmuka Citrix ADC DTLS jika tidak digunakan. Lalu, (b) jika antarmuka DTLS diperlukan, disarankan untuk memaksa perangkat untuk mengautentikasi koneksi DTLS yang masuk, meskipun akibatnya hal itu dapat menurunkan kinerja perangkat.[]