Le 9 décembre 2021, une vulnérabilité très grave concernant l'utilitaire de journalisation Java Log4j a été révélée. Pour atténuer les attaques, Cloudflare a déployé des règles d'atténuation pour tous les clients.
Log4j est une bibliothèque de logiciels open source utilisée pour consigner l'activité d'une application web dans les journaux en mémoire. Ces fichiers contiennent souvent des informations dont la source est extérieure à l'entreprise ; il peut s'agir par exemple d'une chaîne Agent-utilisateur envoyée par un navigateur en même temps qu'une requête HTTP.
Il existe une faille dans Log4j qui permet malheureusement, à l'aide de caractères spéciaux insérés dans les données consignées, d'introduire une machine au sein d'une entreprise dans le but d'exécuter un code contrôlé par un attaquant. En procédant à une attaque connue sous le nom d'exécution de code à distance (RCE), les attaquants parviennent à pénétrer dans ce qui est censé être un système sécurisé et protégé.
En réaction à la vulnérabilité Log4j, Cloudflare a déployé des protections de base pour tous ses clients, quelle que soit l'offre à laquelle ils ont souscrit. Comme cette vulnérabilité est activement exploitée, les utilisateurs de Log4j doivent procéder à la mise à jour vers la dernière version dès que possible.
Le pare-feu WAF de Cloudflare comprend désormais quatre règles qui contribuent à atténuer toute tentative d'exploitation. Consultez cet article de blog pour plus d'informations sur l'activation de ces règles.
Cloudflare a en outre déployé une option de configuration pour notre service Logpush. Cette dernière permet de rechercher et de remplacer les chaînes d'exploitation connues dans les journaux Cloudflare afin d'atténuer les effets de cette vulnérabilité.