12月9日晚,被全球广泛应用的组件Apache Log4j被曝出一个已存在在野利用的“史诗级/核弹级漏洞”。
网络安全专家认为,这一漏洞潜在危害极大,甚至可能是“计算机历史上最大的漏洞”。简单来说,就是攻击者可以利用漏洞远程执行代码,最终获得服务器的最高权限,相当于“我在你家想干什么就干什么”。
业内人士称,Log4j 2是近十年来可以排到top3的漏洞,影响面极广,包括大部分线上业务、我们平时使用的网站以及有网络外联功能的硬件产品。Steam、三星、苹果、微软等科技巨头的云服务均受到了影响,推特和亚马逊也遭到了攻击,百度搜索、360搜索等都出现了问题。事件发酵后,全球各大社交平台上,从事开发和网络安全的网友一片哀嚎,无数开发者通宵“补锅”,Github趋势榜也被Log4j漏洞相内容霸占。据了解,Apache Log4j2是一个基于Java的日志记录工具,是目前最优秀的Java日志框架之一。作为一个开源的底层组件,Log4j2被大量用于业务系统开发,用来记录程序输入输出日志信息。它的用户有不少是体量极大的互联网公司,诸如谷歌、苹果和亚马逊等。实际上,早在11月24日,阿里云安全团队就向Apache官方报告了Apache Log4j2远程代码执行漏洞。12月7日,Apache Log4j官方发布2.15.0-rc1版本以修复漏洞。但不知道出于何种原因,阿里云并未向国内电信主管部门及时上报。这导致中国工信部是在收到网络安全专业机构报告后,才发现Log4j2组件存在严重安全漏洞。12月22日,据21世纪经济报道消息,近期,工信部网络安全管理局通报称,阿里云计算有限公司(下称:阿里云)发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。通报指出,阿里云是工信部网络安全威胁信息共享平台合作单位。经研究,工信部网络安全管理局决定暂停阿里云作为上述合作单位6个月。暂停期满后,根据阿里云整改情况,研究恢复其上述合作单位。根据工信部、国家网信办、公安部联合印发的《网络产品安全漏洞管理规定》,网络产品提供者应当在2日内向工信部报送相关漏洞信息。而工信部12月9日发现上述漏洞,距阿里云首次发现已经过去15天。
12月17日,工信部网络安全管理局才发布《关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示》。
要知道,今年9月1日,为落实《网络产品安全漏洞管理规定》有关要求,工信部网络安全管理局组织建设的工业和信息化部网络安全威胁和漏洞信息共享平台正式上线运行。其中,《网络产品安全漏洞管理规定》第七条明确指出:
网络产品提供者应当履行下列网络产品安全漏洞管理义务,确保其产品安全漏洞得到及时修补和合理发布,并指导支持产品用户采取防范措施:(一)发现或者获知所提供网络产品存在安全漏洞后,应当立即采取措施并组织对安全漏洞进行验证,评估安全漏洞的危害程度和影响范围;对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品提供者。(二)应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。(三)应当及时组织对网络产品安全漏洞进行修补,对于需要产品用户(含下游厂商)采取软件、固件升级等措施的,应当及时将网络产品安全漏洞风险及修补方式告知可能受影响的产品用户,并提供必要的技术支持。工业和信息化部网络安全威胁和漏洞信息共享平台同步向国家网络与信息安全信息通报中心、国家计算机网络应急技术处理协调中心通报相关漏洞信息。鼓励网络产品提供者建立所提供网络产品安全漏洞奖励机制,对发现并通报所提供网络产品安全漏洞的组织或者个人给予奖励。
有网友认为,“阿里云光想着获得世界声誉,没把国内安全当回事。”尤其是在阿里云还是工信部合作单位的前提下,如此大的漏洞竟然没有上报,实在匪夷所思。也有网友认为,不必上升到这个地步,这次大概只是阿里云员工内部培训疏忽了流程而已。根据阿里最新发布财报显示,今年三季度,阿里云营收达200亿元。在过去三年间,阿里云的海外市场规模增长了10倍以上,是亚洲规模最大的云计算平台。但是今年以来,阿里云在国内便已被官方点名了3次(算上这次)。今年8月,据浙江省通信管理局通报,经调查核实,2019年11月11日阿里云计算有限公司未经用户同意擅自将用户留存的注册信息泄露给第三方合作公司,已责令阿里云计算有限公司改正。11月,工业和信息化部网络安全管理局、公安部刑事侦查局联合约谈阿里云、百度云两家企业相关负责人。通报了近期两家企业在防范治理电信网络诈骗工作中存在的接入涉诈网站数量居高不下等问题。工信部等部门要求两家企业切实对相关问题限期予以整改;拒不整改或整改不到位的,将依法依规从严惩处。总而言之,工信部建立网络安全威胁和漏洞信息共享平台的初衷,本就是维护国内网络安全。阿里云作为合作单位,既然加入了这一平台,就应该担负起自己的责任,为维护人民群众财产安全与合法权益出力。而这次惊心动魄的Log4j2漏洞事件,也无疑给全球开发者敲响了一记警钟。
浙公网安备33041102000149号 浙ICP备16013758号-2 浙ICP备16013758号-4X
