Apache Log4j 2.0-beta9 ile 2.14.1 arasında sürümleri etkileyen Zero-Day açığında saldırgan, log iletilerini veya log parametrelerini denetleyebilme imkanına sahip olup, LDAP sunucularından yüklenen rasgele kod yürütebilir.
Citrix, bu konuda müşterilerine Apache’nin tavsiyelerine uymalarını öneriyor. Ayrıca, Citrix ekibi, kısmen CVE-2021-44228 güvenlik açığını azaltmak için tasarlanmış güncellenmiş Citrix WAF imzalarını yayımladı. Bu Log4j sürümlerinden herhangi birini kullanıyorsanız (2.0-beta9’dan 2.14.1’e kadar), Citrix, imza sürüm 73’ü indirmenizi ve uygulamalarınız için ek bir koruma katmanı olarak Citrix WAF dağıtımlarınıza dağıtmanızı öneriyor. İmzalar, Citrix ADC 11.1, 12.0, 12.1, 13.0 ve 13.1’in aşağıdaki yazılım sürümleriyle uyumludur.
Citrix WAF üzerinde otomatik güncelleştirme etkin ise zaten 73 sürümünü kullanıyorsunuzdur. Yine de hangi sürümü kullandığını teyit etmek isterseniz aşağıdaki yönergeleri izleyebilirsiniz.
Arama bölümünde LogString: CVE-2021-44228 imzalarını arayınız -> çıkan sonuçları seçip -> Enable rules bölümüne tıklayınız.
Citrix ADC Standard ve Advanced edition yanı sıra WAF imzaları etkinleştirilmemiş Premium sürüm müşterileri, aşağıdaki kodlar yardımıyla Responder policy oluşturabilir ve vserver veya global vserver’lara bağlayabilirler.
add policy patset patset_cve_2021_44228 bind policy patset patset_cve_2021_44228 ldap bind policy patset patset_cve_2021_44228 http bind policy patset patset_cve_2021_44228 https bind policy patset patset_cve_2021_44228 ldaps bind policy patset patset_cve_2021_44228 rmi bind policy patset patset_cve_2021_44228 dns add responder policy mitigate_cve_2021_44228 q^HTTP.REQ.FULL_HEADER.SET_TEXT_MODE(URLENCODED).DECODE_USING_TEXT_MODE.AFTER_STR("${").BEFORE_STR("}").CONTAINS("${") || HTTP.REQ.FULL_HEADER.SET_TEXT_MODE(URLENCODED).DECODE_USING_TEXT_MODE.SET_TEXT_MODE(IGNORECASE).STRIP_CHARS("${: }/+").AFTER_STR("jndi").CONTAINS_ANY("patset_cve_2021_44228") || HTTP.REQ.BODY(8192).SET_TEXT_MODE(URLENCODED).DECODE_USING_TEXT_MODE.AFTER_STR("${").BEFORE_STR("}").CONTAINS("${") || HTTP.REQ.BODY(8192).SET_TEXT_MODE(URLENCODED).DECODE_USING_TEXT_MODE. SET_TEXT_MODE(IGNORECASE).STRIP_CHARS("${: }/+").AFTER_STR("jndi").CONTAINS_ANY("patset_cve_2021_44228")^ DROP