本文字?jǐn)?shù)：3534，閱讀時長大約6分鐘

文 |《財經(jīng)》E法 劉暢

編輯 | 朱弢

阿里云因一次安全隱患登上熱搜。

12月17日，工業(yè)和信息化部網(wǎng)絡(luò)安全管理局通報稱，提醒有關(guān)單位和公眾“密切關(guān)注阿帕奇Log4j2組件漏洞補丁發(fā)布，排查自有相關(guān)系統(tǒng)阿帕奇Log4j2組件使用情況，及時升級組件版本”。

“阿帕奇（Apache）Log4j2組件”是基于Java語言的開源日志框架，包括控制Java類系統(tǒng)日志信息生成、打印輸出、格式配置等，大量的業(yè)務(wù)框架都使用了該組件，因此被廣泛應(yīng)用于各種應(yīng)用程序和網(wǎng)絡(luò)服務(wù)。

此通報一出，引發(fā)“IT”圈的震動。

“前幾天一直在加班加點做補丁，”一位搜索引擎網(wǎng)站的開發(fā)工程師對《財經(jīng)》E法表示，“這個組件覆蓋面極大，影響到的企業(yè)也非常多。我認(rèn)識的大多數(shù)業(yè)內(nèi)同行都在為這事兒加班。這是一個“超級史詩”漏洞?！?/p>

12月22日，有接近工信部的消息人士透露，工信部網(wǎng)絡(luò)安全管理局的一次內(nèi)部通報指出，因阿里云公司發(fā)現(xiàn)Log4j2組件嚴(yán)重安全漏洞隱患后，未及時向主管部門報告，未有效支撐工信部開展網(wǎng)絡(luò)安全威脅和漏洞管理，阿里云被暫停工信部網(wǎng)絡(luò)安全威脅信息共享平臺合作單位6個月。暫停期滿后，根據(jù)阿里云的整改情況，研究恢復(fù)其上述合作單位。

12月23日晚間，阿里云通過官方微信公號發(fā)布了聲明，稱“因在早期未意識到該漏洞的嚴(yán)重性，未及時共享漏洞信息”，并強調(diào)將強化漏洞管理、提升合規(guī)意識。

Log4j2組件的這個漏洞可能的影響究竟多大？阿里云又為何被處罰？

01

Log4j2組件是什么？漏洞影響有多大？

在12月23日晚間的通報中，阿里云表示：“近日，阿里云一名研發(fā)工程師發(fā)現(xiàn)Log4j2 組件的一個安全bug，遂按業(yè)界慣例以郵件方式向軟件開發(fā)方Apache開源社區(qū)報告這一問題請求幫助。Apache開源社區(qū)確認(rèn)這是一個安全漏洞，并向全球發(fā)布修復(fù)補丁。隨后，該漏洞被外界證實為一個全球性的重大漏洞?！?/p>

阿里云微信公眾號23日晚間發(fā)布的情況說明。

工信部在12月17日發(fā)布的通報中表示，自身是于12月9日接到“有關(guān)網(wǎng)絡(luò)安全專業(yè)機構(gòu)”報告，稱Log4j2 組件存在“嚴(yán)重安全漏洞”。

而阿里云官網(wǎng)則于12月9日晚11時左右發(fā)布漏洞通告，稱安全團隊發(fā)現(xiàn)Apache Log4j 2.15.0-rc1版本存在漏洞繞過，要求用戶及時更新版本，并向用戶介紹該漏洞的具體背景及相應(yīng)的修復(fù)方案。

一個值得注意的細(xì)節(jié)是，多位IT界人士對《財經(jīng)》E法透露，根據(jù)自已所在公司的內(nèi)部通報和“各類信息來源”，阿里云可能在更早的11月末就已發(fā)現(xiàn)這一重大漏洞“Log4Shell”，并向總部位于美國的阿帕奇軟件基金會（Apache Software Foundation）報告。

阿帕奇軟件基金會（Apache）于1999年在美國成立，是專門為支持開源軟件項目而辦的一個非營利性組織。在它所支持的Apache項目與子項目中，所發(fā)行的軟件產(chǎn)品都遵循Apache許可證（Apache License）。

阿里云官網(wǎng)12月9日晚發(fā)布的漏洞通告。

12月14日，中國國家信息安全漏洞共享平臺發(fā)布《Apache Log4j2遠(yuǎn)程代碼執(zhí)行漏洞排查及修復(fù)手冊》，供相關(guān)單位、企業(yè)及個人參考。

12月14日中國國家信息安全漏洞共享平臺發(fā)布的《Apache Log4j2遠(yuǎn)程代碼執(zhí)行漏洞排查及修復(fù)手冊》截圖。

12月22日，工信部發(fā)布內(nèi)部通報，決定暫停阿里云作為工信部網(wǎng)絡(luò)安全威脅信息共享平臺合作單位6個月。

多位程序員向《財經(jīng)》E法表示，作為最常用的Java程序日志監(jiān)控組件和Java全生態(tài)的基礎(chǔ)組件之一，Log4j2一旦出現(xiàn)問題，影響將是“災(zāi)難性的”。

小盾安全產(chǎn)品技術(shù)專家趙山對《財經(jīng)》E法指出，Apache Log4j 是目前最為優(yōu)秀的開源 Java 日志記錄工具之一，被大量應(yīng)用于互聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)的開發(fā)和應(yīng)用，Log4j 2為其重要的升級版本。

“該漏洞風(fēng)險是由Log4j 2 提供的lookup功能造成的，該功能允許通過一些協(xié)議去讀取相應(yīng)環(huán)境中的配置，且未對輸入進行嚴(yán)格的判斷，使得攻擊者可以通過JNDI注入實現(xiàn)遠(yuǎn)程加載惡意類到應(yīng)用中，從而控制終端設(shè)備。”趙山表示。

趙山為互聯(lián)網(wǎng)企業(yè)提出應(yīng)急、排查、升級“三步走”的防護策略。

“第一步，止血是關(guān)鍵，要啟動WAF/IPS等安全設(shè)備，創(chuàng)建有效的防護規(guī)則和策略。”趙山表示。

接下來則應(yīng)排查應(yīng)用是否引入Apache Log4j-core Jar包?！叭舸嬖谝蕾囈耄以谑苡绊懓姹痉秶鷥?nèi)，建議在不影響現(xiàn)有應(yīng)用的前提下盡快升級最新版本?！壁w山說。

此外，升級已知受影響的應(yīng)用及組件及jdk版本（即Java 語言的軟件開發(fā)工具包），也可在一定程度上限制JNDI等漏洞利用方式。

據(jù)Canalys發(fā)布中國云計算市場2021年第三季度報告顯示，阿里云、華為云、騰訊云和百度云占據(jù)第一梯隊，其中阿里云市場份額排名第一，份額為38.3%，華為云為17%，騰訊云為16.6%，百度云為8.2%。

12月22日，阿里巴巴港股開盤下跌，截至收盤跌幅5.14%；23日，跌幅1.39％；截至今日港股收盤，阿里巴巴報收113港元，跌幅0.26％，市值2.45萬億港元。

02

對中國網(wǎng)絡(luò)安全界的一次警示

隨著阿帕奇軟件基金會于12月9日披露Log4j漏洞，蘋果、亞馬遜、IBM、微軟、推特等全球大量可能受到這一漏洞影響的互聯(lián)網(wǎng)公司均發(fā)布相關(guān)風(fēng)險提示和警告。

“這個漏洞影響的是全球幾乎所有的互聯(lián)網(wǎng)企業(yè)?！鼻笆鏊阉饕婀こ處煂Α敦斀?jīng)》E法表示。

美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(Cybersecurity and Infrastructure Security Agency，下稱CISA)局長簡·伊斯特利（Jen Easterly）在美國時間19日發(fā)表的一份聲明中稱：“要明確的是，這個漏洞構(gòu)成嚴(yán)重風(fēng)險。”

12月24日，阿里的合作方石基信息在互動平臺回應(yīng)“阿里云被暫停工信部網(wǎng)絡(luò)安全威脅信息共享平臺合作單位，對公司是否有影響”時表示，目前阿里云已經(jīng)解決了相關(guān)技術(shù)問題，“此事件亦不會對公司國內(nèi)開發(fā)的使用阿里云的產(chǎn)品產(chǎn)生顯著影響”。

2021年9月1日，為落實《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》（下稱《規(guī)定》）有關(guān)要求，工信部網(wǎng)絡(luò)安全管理局組織建設(shè)的網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺正式上線運行。

《規(guī)定》第七條第二項要求，網(wǎng)絡(luò)產(chǎn)品提供者“應(yīng)當(dāng)在2日內(nèi)向工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺報送相關(guān)漏洞信息。報送內(nèi)容應(yīng)當(dāng)包括存在網(wǎng)絡(luò)產(chǎn)品安全漏洞的產(chǎn)品名稱、型號、版本以及漏洞的技術(shù)特點、危害和影響范圍等”。

對外經(jīng)濟貿(mào)易大學(xué)數(shù)字經(jīng)濟與法律創(chuàng)新研究中心主任許可指出，如果阿里云此次是自己的產(chǎn)品和服務(wù)中存在漏洞，應(yīng)按照上述規(guī)定進行處理；但若并非自己的產(chǎn)品或服務(wù)，目前相關(guān)規(guī)定仍需進一步完善。

許可進一步指出，阿里云這一次被暫停相關(guān)共享資質(zhì)“算不上行政處罰，只是一個軟法規(guī)制”。他表示，《網(wǎng)絡(luò)安全法》第三十九條對于網(wǎng)絡(luò)安全信息的共享問題做出過規(guī)定，但相關(guān)制度并未得到落實。在剛剛生效的《數(shù)據(jù)安全法》第二十二條提出，“國家建立集中統(tǒng)一、高效權(quán)威的數(shù)據(jù)安全風(fēng)險評估、報告、信息共享、監(jiān)測預(yù)警機制”。

“如果要建立起這樣一種安全機制，就應(yīng)當(dāng)去報送相應(yīng)信息安全方面的材料。但在《網(wǎng)絡(luò)安全法》和《數(shù)據(jù)安全法》中，都沒有對于相關(guān)風(fēng)險信息、安全信息的報送和共享制訂明確的規(guī)則?！痹S可指出，除了這兩部法律，在工信部近日起草的《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全風(fēng)險信息報送與共享工作指引（試行）》稿中，對于相關(guān)的安全風(fēng)險信息的報送和共享也提出了相應(yīng)要求，但現(xiàn)在仍處于征求意見稿階段。

“所以，對這一問題現(xiàn)在仍沒有特別明確的法律程序和具體操作指引。此次阿里云事件，反映出信息安全信息共享的相關(guān)立法還有待進一步完善?！痹S可總結(jié)。

世輝律師事務(wù)所合伙人王新銳則認(rèn)為，根據(jù)前述《規(guī)定》及工信部2017年公布的《公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全威脅監(jiān)測與處置辦法》中第六條“相關(guān)專業(yè)機構(gòu)、基礎(chǔ)電信企業(yè)、網(wǎng)絡(luò)安全企業(yè)、互聯(lián)網(wǎng)企業(yè)、域名注冊管理和服務(wù)機構(gòu)等監(jiān)測發(fā)現(xiàn)網(wǎng)絡(luò)安全威脅后，屬于本單位自身問題的，應(yīng)當(dāng)立即進行處置，涉及其他主體的，應(yīng)當(dāng)及時將有關(guān)信息按照規(guī)定的內(nèi)容要素和格式提交至工業(yè)和信息化部和相關(guān)省、自治區(qū)、直轄市通信管理局”的規(guī)定，阿里云有義務(wù)報告這一漏洞。

“根據(jù)工信部網(wǎng)絡(luò)安全管理局的通報，阿里云發(fā)現(xiàn)阿帕奇Log4j2組件存在遠(yuǎn)程代碼執(zhí)行漏洞。不論是在其自身的產(chǎn)品中涉及這一組件，還是在研發(fā)中發(fā)現(xiàn)這一組件存在漏洞，都有向工業(yè)和信息化部建立網(wǎng)絡(luò)安全威脅信息共享平臺報告的義務(wù)。尤其是，阿里云還是該共享平臺的合作單位?！蓖跣落J介紹。

但王新銳也指出，從這次通報的情況即“暫停作為合作單位6個月，期滿繼續(xù)恢復(fù)”這一角度來看，這并非是依據(jù)Log4j2漏洞對其作出的行政處罰，所以也要判斷阿里云“是否作為產(chǎn)品提供者而發(fā)現(xiàn)的這一漏洞”。

“阿里云這次若是在自身產(chǎn)品中用到了這個組件，其上報的義務(wù)就比較高；若不是，那根據(jù)目前法律規(guī)定，只是鼓勵上報，沒有強制，”王新銳總結(jié)，“當(dāng)然，這主要還是基于對公開信息的分析?？紤]到這一漏洞的綜合評級是“高危”，及時向境內(nèi)主管機構(gòu)報告，是《網(wǎng)絡(luò)安全法》及其配套規(guī)則的應(yīng)有之意?！?/p>

業(yè)內(nèi)普遍認(rèn)為，此次規(guī)制是監(jiān)管方對國內(nèi)網(wǎng)絡(luò)安全界的一次警示。

“仔細(xì)想想，處罰得并不重，沒有徹底把阿里云剔出‘網(wǎng)絡(luò)安全威脅信息共享平臺合作單位’，只是暫停6個月；也沒有對個人進行行政處罰或警告?！鼻笆鏊阉饕婀こ處煴硎?，“但這無疑是一次警告，讓所有從業(yè)者心中有規(guī)則，做事不逾矩?！?/p>

關(guān)鍵詞： 阿里云 漏洞 組件 工信部 log4j2 java 財經(jīng) 信息 apache 阿帕奇