1. Anasayfa
  2. ADC

Citrix WAF – Apache Log4j Güvenlik Açığı Yönergeleri

Citrix WAF – Apache Log4j Güvenlik Açığı Yönergeleri
0

Apache Log4j 2.0-beta9 ile 2.14.1 arasında sürümleri etkileyen Zero-Day açığında saldırgan, log iletilerini veya log parametrelerini denetleyebilme imkanına sahip olup, LDAP sunucularından yüklenen rasgele kod yürütebilir.

Citrix, bu konuda müşterilerine Apache’nin tavsiyelerine uymalarını öneriyor. Ayrıca, Citrix ekibi, kısmen CVE-2021-44228 güvenlik açığını azaltmak için tasarlanmış güncellenmiş Citrix WAF imzalarını yayımladı. Bu Log4j sürümlerinden herhangi birini kullanıyorsanız (2.0-beta9’dan 2.14.1’e kadar), Citrix, imza sürüm 73’ü indirmenizi ve uygulamalarınız için ek bir koruma katmanı olarak Citrix WAF dağıtımlarınıza dağıtmanızı öneriyor. İmzalar, Citrix ADC 11.1, 12.0, 12.1, 13.0 ve 13.1’in aşağıdaki yazılım sürümleriyle uyumludur.

Citrix WAF üzerinde otomatik güncelleştirme etkin ise zaten 73 sürümünü kullanıyorsunuzdur. Yine de hangi sürümü kullandığını teyit etmek isterseniz aşağıdaki yönergeleri izleyebilirsiniz.

Arama bölümünde LogString: CVE-2021-44228 imzalarını arayınız -> çıkan sonuçları seçip -> Enable rules bölümüne tıklayınız.

Citrix ADC Standard ve Advanced edition yanı sıra WAF imzaları etkinleştirilmemiş Premium sürüm müşterileri, aşağıdaki kodlar yardımıyla Responder policy oluşturabilir ve vserver veya global vserver’lara bağlayabilirler.

add policy patset patset_cve_2021_44228
bind policy patset patset_cve_2021_44228 ldap
bind policy patset patset_cve_2021_44228 http
bind policy patset patset_cve_2021_44228 https
bind policy patset patset_cve_2021_44228 ldaps
bind policy patset patset_cve_2021_44228 rmi
bind policy patset patset_cve_2021_44228 dns
add responder policy mitigate_cve_2021_44228 q^HTTP.REQ.FULL_HEADER.SET_TEXT_MODE(URLENCODED).DECODE_USING_TEXT_MODE.AFTER_STR("${").BEFORE_STR("}").CONTAINS("${") || HTTP.REQ.FULL_HEADER.SET_TEXT_MODE(URLENCODED).DECODE_USING_TEXT_MODE.SET_TEXT_MODE(IGNORECASE).STRIP_CHARS("${: }/+").AFTER_STR("jndi").CONTAINS_ANY("patset_cve_2021_44228") || HTTP.REQ.BODY(8192).SET_TEXT_MODE(URLENCODED).DECODE_USING_TEXT_MODE.AFTER_STR("${").BEFORE_STR("}").CONTAINS("${") || HTTP.REQ.BODY(8192).SET_TEXT_MODE(URLENCODED).DECODE_USING_TEXT_MODE. SET_TEXT_MODE(IGNORECASE).STRIP_CHARS("${: }/+").AFTER_STR("jndi").CONTAINS_ANY("patset_cve_2021_44228")^ DROP

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir