Continua la corsa ad aggiornare i software che fanno uso della libreria Log4j oggetto della CVE-2021-44228. Dove non è possibile intervenire in tempi stretti esiste la possibilità di bloccare gli attacchi utilizzando un Application Firewall. Citrix ADC (NetScaler) fornisce queste funzionalità nella versione Premium e sono già state rilasciate le firme aggiornate per intercettare questo attacco. Ma Citrix ha rilasciato anche la documentazione per bloccare questo attacco tramite una semplice Responder Policy.
Nell’ultimo aggiornamento del documento CTX355705, Citrix ha inserito il codice che si può usare per bloccare gli attacchi in oggetto su una qualsiasi appliance ADC (NetSclaer) in versione Standard, Advanced o Premium, quindi anche senza la necessità di abilitare le funzionalità di AppFW.
add policy patset patset_cve_2021_44228
bind policy patset patset_cve_2021_44228 ldap
bind policy patset patset_cve_2021_44228 http
bind policy patset patset_cve_2021_44228 https
bind policy patset patset_cve_2021_44228 ldaps
bind policy patset patset_cve_2021_44228 rmi
bind policy patset patset_cve_2021_44228 dns
add responder policy mitigate_exploit_cve_2021_44228 q^HTTP.REQ.FULL_HEADER.SET_TEXT_MODE(URLENCODED).DECODE_USING_TEXT_MODE.AFTER_STR("${").BEFORE_STR("}").CONTAINS("${") || HTTP.REQ.FULL_HEADER.SET_TEXT_MODE(URLENCODED).DECODE_USING_TEXT_MODE.SET_TEXT_MODE(IGNORECASE).STRIP_CHARS("${: }/+").AFTER_STR("jndi").CONTAINS_ANY("patset_cve_2021_44228") || HTTP.REQ.BODY(8192).SET_TEXT_MODE(URLENCODED).DECODE_USING_TEXT_MODE.AFTER_STR("${").BEFORE_STR("}").CONTAINS("${") || HTTP.REQ.BODY(8192).SET_TEXT_MODE(URLENCODED).DECODE_USING_TEXT_MODE. SET_TEXT_MODE(IGNORECASE).STRIP_CHARS("${: }/+").AFTER_STR("jndi").CONTAINS_ANY("patset_cve_2021_44228")^ DROP
Questa policy può poi essere applicata ai servizi impattati per bloccare le richieste forgiate dagli attaccanti.
Per ultieriori informazioni: