2021年12月9日，CVE-2021-44228这种零日漏洞利用在全球曝光。该漏洞会影响Apache Log4j实用工具。Cloudflare 立即更新了我们的WAF，以帮助防御该漏洞，但我们建议客户尽快更新其系统。

然而，我们了解许多Cloudflare客户通过使用Log4j的软件使用其日志，因此我们还缓解了通过Cloudflare日志的任何漏洞利用。截至本文发稿时，我们在发送给客户的日志中发现高达1000次/秒的漏洞利用模式。

客户可以立即开始更新其Logpush作业，以自动修改可能触发此漏洞的令牌。

攻击的工作方式

您可以阅读有关Log4j漏洞工作方式的更多信息。简而言之，攻击者可以在任何字符串中添加诸如${jndi:ldap://example.com/a} 之类的内容。Log4j会在互联网上建立连接以检索此对象。

Cloudflare日志包含由公共互联网上的最终用户控制的许多字符串字段，例如用户代理和 URL 路径。通过此漏洞，恶意用户有可能在读取这些字段并使用未修补的Log4j实例的任何系统上进行远程代码执行。

我们的缓解方案

遗憾的是，仅仅检查诸如${jndi:ldap之类的令牌不足以防御此漏洞。由于模板中使用强大的语言表达式，还有必要检查混淆的变体。我们已经发现攻击者在使用诸如 之类的真实用例变种。因此，修改令牌{ 是防御此漏洞的最常规方法。

令牌 ${ 在我们目前发送给客户的日志中出现的频率高达1,000次/秒。对一些记录进行抽查表明，该令牌的许多情况并不是企图利用此漏洞。因此我们无法安全地修改日志，而不影响可能预期在其日志中出现此令牌的客户。

从现在开始，客户可以更新其Logpush作业以修改所有地方的字符串 ${ 并将其替换为 x{。

为此，客户可以更新其Logpush作业选项配置以包括参数CVE-2021-44228=true。请注意，此选项目前在Cloudflare Dashboard 中不可用，仅可使用API进行修改。