出品|虎嗅科技組
作者|張雪
封面|CFP
12月22日下午��,據(jù)中國日報報道�,工信部相關人士向其記者確認�����,因發(fā)現(xiàn)嚴重漏洞未及時報告����,阿里云計算有限公司(阿里云)被暫停工信部網(wǎng)絡安全威脅信息共享平臺合作單位6個月。
對于“暫?!痹?��,工信部也做了相關通報:
阿里云發(fā)現(xiàn)阿帕奇(Apache)Log4j2組件嚴重安全漏洞隱患后,未及時向電信主管部門報告��,未有效支撐工信部開展網(wǎng)絡安全威脅和漏洞管理���。
通報指出,阿里云是工信部網(wǎng)絡安全威脅信息共享平臺合作單位���。經(jīng)研究����,工信部網(wǎng)絡安全管理局決定暫停阿里云作為上述合作單位6個月��。暫停期滿后�,根據(jù)阿里云整改情況,研究恢復其上述合作單位���。
此外���,有微博網(wǎng)友指出里面在這個漏洞發(fā)現(xiàn)和處理的過程中,阿里云有多重身份�����,它同時涉及了《網(wǎng)絡產(chǎn)品安全漏洞管理規(guī)定》里的:網(wǎng)絡運營者,從事漏洞發(fā)現(xiàn)�����、收集��、披露等活動的組織或個人�����,網(wǎng)絡產(chǎn)品安全漏洞收集平臺�����。
在從事漏洞發(fā)現(xiàn)���、收集����、披露等活動的組織或個人身份下�����,阿里云首先發(fā)現(xiàn)了漏洞,是漏洞發(fā)現(xiàn)的組織��。這個身份的義務是按規(guī)定規(guī)范流程來公開漏洞����,且不能報送給除產(chǎn)品提供者 (這里是 Apache)的境外組織,阿里云遵守了作為漏洞發(fā)現(xiàn)組織的流程和義務�。
作為網(wǎng)絡運營者��,阿里云提供的網(wǎng)絡服務可能使用了Log4j2���,從而出現(xiàn)安全漏洞���。阿里云這個身份的義務是立即采取措施,及時對安全漏洞進行驗證并完成修補���。理論上講����,阿里云也較好地完成了這個身份的義務�����。
而根據(jù)《網(wǎng)絡安全法》,網(wǎng)絡服務方發(fā)現(xiàn)其網(wǎng)絡產(chǎn)品���、服務存在安全缺陷漏洞應當按照規(guī)定及時向有關主管部門報告��。對于這條��,阿里云可能有違規(guī)行為���。
同時,由于阿里云又是網(wǎng)絡產(chǎn)品安全漏洞收集平臺�����,也是工信部網(wǎng)絡安全威脅信息共享平臺合作單位����。在該身份下,阿里云“未有效支撐工信部開展網(wǎng)絡安全威脅和漏洞管理”�,而這一點則是阿里云這次被處罰的關鍵。
據(jù)公開資料�,阿里云11月24日就發(fā)現(xiàn)了上述漏洞,而這個漏洞被認為可能是“計算機歷史上最大的漏洞”��,隨后其率先向阿帕奇軟件基金會(即軟件的運維方)披露了該漏洞,但并末及時向工信部通報相關信息���。
隨后����,奧地利和新西蘭官方的計算機應急小組率先對這一漏洞進行預警��,而中國工信部是在收到網(wǎng)絡安全專業(yè)機構報告后��,才發(fā)現(xiàn)阿帕奇Log4j2組件存在嚴重安全漏洞���。
其實,在22日一早�,阿里云就曾登上熱搜,討論度也是居高不下�����。而在這場討論中����,大致可以分為兩個陣營,其一�,有部分人認為,從技術的角度出發(fā),阿里云做法不能算錯����。其二,另一部分人認為�,阿里云未能履行合作要求,處罰過輕�����。
對于這兩種觀點�,我們不做任何評價,本文只是探討該漏洞到底是什么�����,為何危害如此嚴重�����。
據(jù)悉�����,Log4j是被廣泛應用在服務器上的軟件��,Log4j2組件漏洞影響了許多云服務,涉及到政務部門和大多數(shù)企業(yè)��。相關研究表明��,93%的云環(huán)境都存在漏洞風險�,盡管現(xiàn)在有45%的易受攻擊的云資源已被修補。
據(jù)一位程序員朋友稱���,從12月10日以來�,他們整個公司都在改Log4j2組件的Bug�,他后來又補了一句稱,應該是所有公司都在改這個Bug���。原因在于����,Log4j這個庫太基礎�����,應用太廣���,所以影響了很多公司���。
另一位開源行業(yè)從業(yè)者也無奈表示,誰也想不到那么基礎���,用的那么多的一個庫會有這么嚴重的漏洞����。
相關文件指出:“該漏洞可能導致設備遠程控制�,可能導致敏感信息被盜、設備服務中斷等嚴重危害���。這是一個高風險的漏洞”�。
通俗來講����,這個漏洞允許網(wǎng)絡犯罪分子未經(jīng)許可在系統(tǒng)上運行惡意代碼,然后接管組織的整個服務器�����,也相當于我們把自己家的鑰匙給了路人�。
在微軟此前對該漏洞也發(fā)出了警告,它指出 Log4j2的雙管齊下問題是一個缺陷�,其中包括輕松利用其漏洞的能力以及基于它構建的產(chǎn)品數(shù)量���。Apache Log4j2是當前使用的最流行的Java 日志庫之一。
具體來說�,日志庫用于為開發(fā)人員提供有關服務和產(chǎn)品的附加信息,讓他們控制在應用程序執(zhí)行期間或用戶登錄特定服務或設備的錯誤報告或功能問題時收集的數(shù)據(jù)量�����。
使用日志庫時����,開發(fā)人員可以深入了解或收集有關設備的信息,包括 CPU 類型��、GPU 型號��、驅(qū)動程序版本���、系統(tǒng)內(nèi)存等�。
對于這個漏洞的影響����,如果用一個比喻來形容�����,可以說是軟件行業(yè)的“新冠病毒”。
據(jù)網(wǎng)絡安全公司Check Point稱�,迄今為止,Log4j在GitHub項目的下載量已超過400000次��。更糟糕的是�����,它被全球多數(shù)的流行公司使用����,其中不僅包括微軟,還包括Twitter��、蘋果�、亞馬遜、百度�����、網(wǎng)易等���。
我們知道����,開源軟件的全球化和開放共享的特性使得任何一個非常底層和基礎的開源組件的漏洞都有可能像一個新冠病毒一樣快速傳播,對全球的數(shù)字化產(chǎn)業(yè)帶來無法估量的影響���。而這種影響的持續(xù)時間可能是3~5年�����,甚至更長����。
與此同時�����,由于Log4j屬于開源軟件��,所以關于開源軟件安全性這種老生常談的話題又被擺在了明面上��。
不過大部分人認為����,“所有軟件,無論是開源的還是閉源的,都存在潛在的網(wǎng)絡安全漏洞��。我們現(xiàn)在才知道如何將檢測和修復��。而開源安全基金會的項目都是有小團隊進行維護的��,并得到了技術供應商的強力支持�?���!?/p>
值得慶幸的是,這個漏洞雖然很大�,但一般來講要執(zhí)行命令,還會有其他驗證����。也正是如此,現(xiàn)在還沒有造成巨大損失的案例出現(xiàn)����。
但也有專業(yè)人士指出:“在未來幾周和幾個月內(nèi),該漏洞引發(fā)勒索軟件攻擊的可能性“非常高”�,這只是時間問題?!?/p>
一個值得注意的事實是,當前市面上已經(jīng)出現(xiàn)了兩個針對 Log4j漏洞的勒索軟件,其中一個更是早期主要針對中國�,現(xiàn)在已將范圍擴大到了美國和歐洲。
有高級安全研究員表示:“中國的系統(tǒng)以及一些托管在美國和歐洲多個站點的亞馬遜和谷歌云服務中的系統(tǒng)都成為了目標�。”
另外�,業(yè)界普遍認為該漏洞并不難修補,到目前為止�����,Apache 已經(jīng)發(fā)布了一個修復程序��,該修復程序應該涵蓋所有受影響的日志包版本�。
“軟件是一版一版的發(fā)布,出問題的是老版本����,新版已經(jīng)改掉了,所以只要把之前引用的老版改成新的就可以了 ��?!鄙鲜龀绦騿T朋友談到。
不幸的是�����,每家公司都以不同的方式實施Log4j,而且他們應用修復的速度仍然可能使數(shù)百萬客戶的數(shù)據(jù)暴露��。
關鍵詞:
漏洞
阿里云
工信部
安全漏洞
組件
log4j2
apache
軟件
營業(yè)執(zhí)照公示信息