2021 年 12 月 9 日,基於 Java 的常用記錄套件 Log4j 中揭露了一個嚴重漏洞。為緩解攻擊,Cloudflare 已為我們的所有客戶部署緩解規則。
Log4j 是一種常用的開源軟體庫,用於將 Web 應用程式活動記錄到記憶體中的記錄。這些檔案通常包含來自組織外部的資訊,例如,瀏覽器隨同 HTTP 請求傳送的 User-Agent 字串。
不幸的是,Log4j 中的漏洞意味著透過在記錄的資料中使用特殊字元,有可能使公司內部的電腦執行攻擊者控制的代碼。透過稱為「遠端代碼執行」(RCE) 的攻擊,攻擊者可以侵入本應受到保護的安全系統。
為應對 Log4j 漏洞,Cloudflare 為使用任意方案類型的所有客戶推出了基本保護。由於該漏洞目前正被大肆利用,因此 Log4J 使用者應盡快更新至版本 2.16.0,即使先前已更新到 2.15.0 亦然。
Cloudflare WAF 現在包含四條規則來幫助緩解任何漏洞利用嘗試。查看此部落格貼文以瞭解有關啟用這些規則的詳細資料。
此外,Cloudflare 推出了一個設定選項,用於我們的 Logpush 服務,以查找和替換 Cloudflare 記錄中的已知漏洞字串,幫助緩解該漏洞的影響。
管理網路風險的一個重要部分是強大的安全狀態,這也是我們建議組織部署 Cloudflare 應用程式安全性的原因。訂閱 Cloudflare 方案的 At-Bay 客戶將自動收到防禦此漏洞的緩解措施。