12月22日下午执桌,據(jù)中國(guó)日?qǐng)?bào)報(bào)道,工信部相關(guān)人士向其記者確認(rèn)楼镐,因發(fā)現(xiàn)嚴(yán)重漏洞未及時(shí)報(bào)告,阿里云計(jì)算有限公司(阿里云)被暫停工信部網(wǎng)絡(luò)安全威脅信息共享平臺(tái)合作單位6個(gè)月。
對(duì)于“暫途涔啵”原因,工信部也做了相關(guān)通報(bào):
阿里云發(fā)現(xiàn)阿帕奇(Apache)Log4j2組件嚴(yán)重安全漏洞隱患后料身,未及時(shí)向電信主管部門(mén)報(bào)告汤纸,未有效支撐工信部開(kāi)展網(wǎng)絡(luò)安全威脅和漏洞管理。
通報(bào)指出芹血,阿里云是工信部網(wǎng)絡(luò)安全威脅信息共享平臺(tái)合作單位贮泞。經(jīng)研究,工信部網(wǎng)絡(luò)安全管理局決定暫停阿里云作為上述合作單位6個(gè)月幔烛。暫停期滿后啃擦,根據(jù)阿里云整改情況,研究恢復(fù)其上述合作單位饿悬。
此外令蛉,有微博網(wǎng)友指出里面在這個(gè)漏洞發(fā)現(xiàn)和處理的過(guò)程中,阿里云有多重身份狡恬,它同時(shí)涉及了《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》里的:網(wǎng)絡(luò)運(yùn)營(yíng)者珠叔,從事漏洞發(fā)現(xiàn)、收集弟劲、披露等活動(dòng)的組織或個(gè)人祷安,網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺(tái)。
在從事漏洞發(fā)現(xiàn)兔乞、收集汇鞭、披露等活動(dòng)的組織或個(gè)人身份下,阿里云首先發(fā)現(xiàn)了漏洞庸追,是漏洞發(fā)現(xiàn)的組織霍骄。這個(gè)身份的義務(wù)是按規(guī)定規(guī)范流程來(lái)公開(kāi)漏洞,且不能報(bào)送給除產(chǎn)品提供者 (這里是 Apache)的境外組織锚国,阿里云遵守了作為漏洞發(fā)現(xiàn)組織的流程和義務(wù)腕巡。
作為網(wǎng)絡(luò)運(yùn)營(yíng)者,阿里云提供的網(wǎng)絡(luò)服務(wù)可能使用了Log4j2血筑,從而出現(xiàn)安全漏洞绘沉。阿里云這個(gè)身份的義務(wù)是立即采取措施煎楣,及時(shí)對(duì)安全漏洞進(jìn)行驗(yàn)證并完成修補(bǔ)。理論上講车伞,阿里云也較好地完成了這個(gè)身份的義務(wù)择懂。
而根據(jù)《網(wǎng)絡(luò)安全法》,網(wǎng)絡(luò)服務(wù)方發(fā)現(xiàn)其網(wǎng)絡(luò)產(chǎn)品另玖、服務(wù)存在安全缺陷漏洞應(yīng)當(dāng)按照規(guī)定及時(shí)向有關(guān)主管部門(mén)報(bào)告困曙。對(duì)于這條,阿里云可能有違規(guī)行為谦去。
同時(shí)慷丽,由于阿里云又是網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺(tái),也是工信部網(wǎng)絡(luò)安全威脅信息共享平臺(tái)合作單位鳄哭。在該身份下要糊,阿里云“未有效支撐工信部開(kāi)展網(wǎng)絡(luò)安全威脅和漏洞管理”,而這一點(diǎn)則是阿里云這次被處罰的關(guān)鍵妆丘。
據(jù)公開(kāi)資料锄俄,阿里云11月24日就發(fā)現(xiàn)了上述漏洞,而這個(gè)漏洞被認(rèn)為可能是“計(jì)算機(jī)歷史上最大的漏洞”勺拣,隨后其率先向阿帕奇軟件基金會(huì)(即軟件的運(yùn)維方)披露了該漏洞奶赠,但并末及時(shí)向工信部通報(bào)相關(guān)信息。
隨后药有,奧地利和新西蘭官方的計(jì)算機(jī)應(yīng)急小組率先對(duì)這一漏洞進(jìn)行預(yù)警毅戈,而中國(guó)工信部是在收到網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)報(bào)告后,才發(fā)現(xiàn)阿帕奇Log4j2組件存在嚴(yán)重安全漏洞愤惰。
其實(shí)竹祷,在22日一早,阿里云就曾登上熱搜羊苟,討論度也是居高不下塑陵。而在這場(chǎng)討論中,大致可以分為兩個(gè)陣營(yíng)蜡励,其一令花,有部分人認(rèn)為,從技術(shù)的角度出發(fā)凉倚,阿里云做法不能算錯(cuò)兼都。其二,另一部分人認(rèn)為稽寒,阿里云未能履行合作要求扮碧,處罰過(guò)輕。
對(duì)于這兩種觀點(diǎn),我們不做任何評(píng)價(jià)慎王,本文只是探討該漏洞到底是什么蚓土,為何危害如此嚴(yán)重。
據(jù)悉赖淤,Log4j是被廣泛應(yīng)用在服務(wù)器上的軟件蜀漆,Log4j2組件漏洞影響了許多云服務(wù),涉及到政務(wù)部門(mén)和大多數(shù)企業(yè)咱旱。相關(guān)研究表明确丢,93%的云環(huán)境都存在漏洞風(fēng)險(xiǎn),盡管現(xiàn)在有45%的易受攻擊的云資源已被修補(bǔ)吐限。
據(jù)一位程序員朋友稱鲜侥,從12月10日以來(lái),他們整個(gè)公司都在改Log4j2組件的Bug诸典,他后來(lái)又補(bǔ)了一句稱剃毒,應(yīng)該是所有公司都在改這個(gè)Bug。原因在于搂赋,Log4j這個(gè)庫(kù)太基礎(chǔ),應(yīng)用太廣益缠,所以影響了很多公司脑奠。
另一位開(kāi)源行業(yè)從業(yè)者也無(wú)奈表示,誰(shuí)也想不到那么基礎(chǔ)幅慌,用的那么多的一個(gè)庫(kù)會(huì)有這么嚴(yán)重的漏洞宋欺。
相關(guān)文件指出:“該漏洞可能導(dǎo)致設(shè)備遠(yuǎn)程控制,可能導(dǎo)致敏感信息被盜胰伍、設(shè)備服務(wù)中斷等嚴(yán)重危害齿诞。這是一個(gè)高風(fēng)險(xiǎn)的漏洞”。
通俗來(lái)講骂租,這個(gè)漏洞允許網(wǎng)絡(luò)犯罪分子未經(jīng)許可在系統(tǒng)上運(yùn)行惡意代碼祷杈,然后接管組織的整個(gè)服務(wù)器,也相當(dāng)于我們把自己家的鑰匙給了路人渗饮。
?
在微軟此前對(duì)該漏洞也發(fā)出了警告但汞,它指出 Log4j2的雙管齊下問(wèn)題是一個(gè)缺陷,其中包括輕松利用其漏洞的能力以及基于它構(gòu)建的產(chǎn)品數(shù)量互站。Apache Log4j2是當(dāng)前使用的最流行的Java 日志庫(kù)之一私蕾。
具體來(lái)說(shuō),日志庫(kù)用于為開(kāi)發(fā)人員提供有關(guān)服務(wù)和產(chǎn)品的附加信息胡桃,讓他們控制在應(yīng)用程序執(zhí)行期間或用戶登錄特定服務(wù)或設(shè)備的錯(cuò)誤報(bào)告或功能問(wèn)題時(shí)收集的數(shù)據(jù)量踩叭。
使用日志庫(kù)時(shí),開(kāi)發(fā)人員可以深入了解或收集有關(guān)設(shè)備的信息,包括 CPU 類型容贝、GPU 型號(hào)自脯、驅(qū)動(dòng)程序版本、系統(tǒng)內(nèi)存等嗤疯。
對(duì)于這個(gè)漏洞的影響冤今,如果用一個(gè)比喻來(lái)形容,可以說(shuō)是軟件行業(yè)的“新冠病毒”茂缚。
據(jù)網(wǎng)絡(luò)安全公司Check Point稱戏罢,迄今為止,Log4j在GitHub項(xiàng)目的下載量已超過(guò)400000次脚囊。更糟糕的是龟糕,它被全球多數(shù)的流行公司使用,其中不僅包括微軟悔耘,還包括Twitter讲岁、蘋(píng)果、亞馬遜衬以、百度缓艳、網(wǎng)易等。
我們知道看峻,開(kāi)源軟件的全球化和開(kāi)放共享的特性使得任何一個(gè)非常底層和基礎(chǔ)的開(kāi)源組件的漏洞都有可能像一個(gè)新冠病毒一樣快速傳播阶淘,對(duì)全球的數(shù)字化產(chǎn)業(yè)帶來(lái)無(wú)法估量的影響。而這種影響的持續(xù)時(shí)間可能是3~5年互妓,甚至更長(zhǎng)溪窒。
與此同時(shí),由于Log4j屬于開(kāi)源軟件冯勉,所以關(guān)于開(kāi)源軟件安全性這種老生常談的話題又被擺在了明面上澈蚌。
不過(guò)大部分人認(rèn)為,“所有軟件灼狰,無(wú)論是開(kāi)源的還是閉源的宛瞄,都存在潛在的網(wǎng)絡(luò)安全漏洞。我們現(xiàn)在才知道如何將檢測(cè)和修復(fù)交胚。而開(kāi)源安全基金會(huì)的項(xiàng)目都是有小團(tuán)隊(duì)進(jìn)行維護(hù)的坛悉,并得到了技術(shù)供應(yīng)商的強(qiáng)力支持〕谐瘢”
值得慶幸的是裸影,這個(gè)漏洞雖然很大,但一般來(lái)講要執(zhí)行命令军熏,還會(huì)有其他驗(yàn)證轩猩。也正是如此,現(xiàn)在還沒(méi)有造成巨大損失的案例出現(xiàn)。
?
但也有專業(yè)人士指出:“在未來(lái)幾周和幾個(gè)月內(nèi)均践,該漏洞引發(fā)勒索軟件攻擊的可能性“非常高”晤锹,這只是時(shí)間問(wèn)題⊥”
一個(gè)值得注意的事實(shí)是鞭铆,當(dāng)前市面上已經(jīng)出現(xiàn)了兩個(gè)針對(duì)?Log4j漏洞的勒索軟件,其中一個(gè)更是早期主要針對(duì)中國(guó)焦影,現(xiàn)在已將范圍擴(kuò)大到了美國(guó)和歐洲车遂。
有高級(jí)安全研究員表示:“中國(guó)的系統(tǒng)以及一些托管在美國(guó)和歐洲多個(gè)站點(diǎn)的亞馬遜和谷歌云服務(wù)中的系統(tǒng)都成為了目標(biāo)∷钩剑”
另外舶担,業(yè)界普遍認(rèn)為該漏洞并不難修補(bǔ),到目前為止彬呻,Apache 已經(jīng)發(fā)布了一個(gè)修復(fù)程序衣陶,該修復(fù)程序應(yīng)該涵蓋所有受影響的日志包版本。
“軟件是一版一版的發(fā)布闸氮,出問(wèn)題的是老版本剪况,新版已經(jīng)改掉了,所以只要把之前引用的老版改成新的就可以了?蒲跨∫攵希”上述程序員朋友談到。
不幸的是财骨,每家公司都以不同的方式實(shí)施Log4j,而且他們應(yīng)用修復(fù)的速度仍然可能使數(shù)百萬(wàn)客戶的數(shù)據(jù)暴露藏姐。
