更新:所有三条 WAF 规则现在都配置了默认操作 BLOCK。
零日漏洞利用会影响流行的 Apache Log4j 实用工具 (CVE-2021-44228),于 2021 年 12 月 9 日该漏洞被发现,该漏洞会导致远程代码执行 (RCE)。
此漏洞被广泛利用,使用 Log4j 的任何人士都应该尽快更新到版本 2.15.0。最新版本已可在 Log4j 下载页面中下载。
如果无法更新到最新版本,可以从 classpath 删除 JndiLookup 类来缓解该漏洞。此外,在不低于 2.10 的 Log4j 版本上,将系统属性 log4j2.formatMsgNoLookups 或 LOG4J_FORMAT_MSG_NO_LOOKUPS 环境变量设置为 true 可以缓解该问题。
使用 Cloudflare WAF 的客户还可以利用三条新部署的规则来帮助缓解任何漏洞被利用的风险:
| 规则 ID | 描述 | 默认操作 |
|---|---|---|
100514 (旧版 WAF)6b1cc72dff9746469d4695a474430f12 (新版 WAF) |
Log4j 标头 | BLOCK |
100515 (旧版 WAF)0c054d4e4dd5455c9ff8f01efe5abb10 (新版 WAF) |
Log4j 主体 | BLOCK |
100516 (旧版 WAF)5f6744fa026a4638bda5b3d7d5e015dd (新版 WAF) |
Log4j URL | BLOCK |
漏洞风险通过三条规则缓解,分别检查 HTTP 标头、主体和 URL。
我们会继续监控情况,并相应更新任何 WAF 管理的规则。
关于该漏洞的更多详情可在官方 Log4j 安全性页面上找到。
受影响的对象
Log4j 是基于 Java 的功能强大的组件,提供日志记录库,由 Apache Software Foundation 维护。
在不低于 2.0-beta9 且不高于 2.14.1 的所有 Log4j 版本中,攻击者可以利用配置、日志消息和参数中的 JNDI 功能进行远程代码执行。具体来说,攻击者只要能控制日志消息或日志消息参数,就可以在启用消息查找替换的情况下,执行从 LDAP 服务器加载的任意代码。