撰文 / 《財經(jīng)天下》周刊作者 康嘉林

編輯 / 游勇

阿里云因為一個安全漏洞，被推到了風口浪尖。

起因是11月24日，阿里云安全團隊向美國開源社區(qū)Apache（阿帕奇）報告了一條安全漏洞。這是一條Log4j2遠程代碼執(zhí)行（RCE)漏洞，全球各地的安全機構(gòu)都已發(fā)出了警告。

這原本只是一個小圈子內(nèi)的事情，但隨著事態(tài)擴大，阿里云在這過程中的處置方法遭到了質(zhì)疑。阿里云把這個安全漏洞報告給美國阿帕奇后，并沒有及時向國家工信部報告。直到15天后，工信部才知曉，并立即組織了有關(guān)網(wǎng)絡安全專業(yè)機構(gòu)開展漏洞風險分析，向行業(yè)單位進行風險預警。

據(jù)中國日報報道，因為沒有及時向電信主管部門報告信息安全漏洞，工信部網(wǎng)絡安全管理局最終決定，暫停阿里云作為上述合作單位6個月。暫停期滿后，根據(jù)阿里云整改情況，研究恢復其上述合作單位。

不過，工信部網(wǎng)站只發(fā)布了風險提示，并沒有對阿里云進行相關(guān)處罰的通報?！耙驗槭菚和：献鳎⒎切姓幜P。”據(jù)一位知情人士透露。

在行業(yè)人士看來，阿里云的做法符合之前的行業(yè)規(guī)范，但從今年開始，對于國內(nèi)從事網(wǎng)絡安全的企業(yè)和人員提出了更多的要求。阿里云被處罰一事也在警示著大家：在信息安全面前，國家利益大于一切。

“核彈級”的漏洞

“Log4j2安全漏洞的影響面特別大。”林默聲（化名）對《財經(jīng)天下》周刊說，他是國內(nèi)一位知名的網(wǎng)絡安全專家。

Log4j2的漏洞采用的是java的一個組件，用來寫日志，因為比較好用，所以被廣泛采用。林默聲介紹，用java開發(fā)的大部分東西都會用到Log4j的組件，所以這次出現(xiàn)漏洞之后，影響非常深遠。

據(jù)稱，攻擊者可以通過這個漏洞提取敏感數(shù)據(jù)、將文件上傳到服務器、刪除數(shù)據(jù)、安裝勒索軟件、或進一步散播到其它服務器。外界甚至將這一漏洞形容為“核彈級”。一位安全領(lǐng)域的專家告訴《財經(jīng)天下》周刊，Log4j2作為組件一般位于軟件供應關(guān)系的底層，因此關(guān)于此漏洞的放大效應將逐漸顯現(xiàn)。

11月24日，這個漏洞率先被阿里云的團隊發(fā)現(xiàn)，并將這一信息報告給了Log4j的運營方阿帕奇基金會。

奧地利和新西蘭官方的計算機應急小組率先對這一漏洞進行了預警。而后，美國國家安全局、德國電信CERT也都緊急發(fā)出了安全預警，而我國工信部也將該安全漏洞定性為高危漏洞。

12月7日，在阿里云團隊發(fā)現(xiàn)漏洞后的兩周時間，Apache官方發(fā)布了安全補丁，可并沒有多大作用。

危害已經(jīng)產(chǎn)生，勒索軟件已經(jīng)開始盯上了這個漏洞。而奇安信安全服務團隊透露，截至12月13日，已經(jīng)陸續(xù)接到10多起利用ApacheLog4j2漏洞勒索攻擊的應急響應需求。其攻擊源主要分布在荷蘭、中國、德國、美國、奧地利等國家。目前，新西蘭計算機緊急響應中心（CERT）、美國國家安全局、德國電信CERT、中國國家互聯(lián)網(wǎng)應急中心（CERT/CC）等多國機構(gòu)相繼發(fā)出警告，足見該漏洞所引發(fā)的擔憂與疑慮。

有關(guān)報道顯示，黑客在72小時內(nèi)利用Log4j2漏洞，向全球發(fā)起了超過84萬次攻擊。

影響還在持續(xù)，因為修補漏洞會是一個漫長的過程。官方在源代碼的漏洞補上之后，引用這個源代碼的所有軟件還需要修復，修復之后還得讓這個軟件的所有客戶升級才行。而這個漫長過程給攻擊者留出了很大的空間。

此前，已有安全專家撰文預測，該漏洞的影響還會持續(xù)數(shù)月，屆時相關(guān)的攻擊和影響面才會有所減弱。

開源熱潮席卷全球，縱觀全球信息產(chǎn)業(yè)，更是呈現(xiàn)“得開源者得生態(tài)，得開源者得天下 ”的態(tài)勢。開源最大的特點無疑是全球共享和開放屬性，導致任何一個極為基礎(chǔ)的代碼漏洞都可能引發(fā)連鎖的蝴蝶效應，各大互聯(lián)網(wǎng)企業(yè)計算平臺會組建安全專家進行巡邏和探針，用于發(fā)現(xiàn)安全漏洞。

正如奇安信的預測，ApacheLog4j2漏洞影響面大，利用門檻低，未來幾天會有更多的僵尸網(wǎng)絡、挖礦病毒、勒索軟件等利用此漏洞發(fā)起攻擊，其危害不容忽視。

阿里云錯在哪兒？

在這件事情的處理上，阿里云的做法存在問題。由于阿帕奇軟件基金會成立于美國，阿里云的問題在于，將漏洞及時報告給了美國，相反卻沒有向我國工信部報告，屁股坐歪了。

不過，也有業(yè)內(nèi)人士提出，發(fā)現(xiàn)外國開源軟件漏洞，向廠家反饋是正常操作。

一位程序員告訴《財經(jīng)天下》周刊，業(yè)界的開源條例遵循的是《負責任的安全漏洞披露流程》，這份文件將漏洞披露分為5個階段，依次是發(fā)現(xiàn)、通告、確認、修復和發(fā)布。發(fā)現(xiàn)漏洞并上報給原廠商，是業(yè)內(nèi)常見的程序漏洞披露的做法。

2017年10月，微軟發(fā)布了新一輪安全更新，修復了Office的高危漏洞(CVE-2017-11826)。黑客可以利用該漏洞，發(fā)送惡意的Office文件，用戶中招后會成為被控制的“肉雞”。

而發(fā)現(xiàn)該漏洞的是360安全團隊。根據(jù)360的描述，360通過與微軟安全團隊的積極配合，火速推進了該漏洞補丁的發(fā)布，使其在發(fā)現(xiàn)一周內(nèi)得以妥善修復。在后續(xù)的官方公告中，微軟對360的貢獻進行了公開致謝。

而在2018年，騰訊電腦管家安全團隊也因為捕獲了一例Flash 0day漏洞，并迅速上報給了Adobe官方。對方發(fā)布公告專門對騰訊表示了感謝。

2020年，騰訊安全團隊向Linux社區(qū)提交了兩個Linux X.25套接字漏洞，該漏洞的風險等級高，攻擊者利用漏洞可能控制整個系統(tǒng)。這些漏洞尚未被修復時，騰訊已將漏洞細節(jié)按Linux社區(qū)規(guī)則予以公開披露。

而且，林默聲對《財經(jīng)天下》周刊透露，把漏洞報給原廠商而不是平臺方，也會有潛在的好處。包括微軟、蘋果和谷歌在內(nèi)的廠商對報告漏洞的人往往會有獎勵，“最高的能給到十幾萬美元”。

更重要的是名譽獎勵。幾乎每一家廠商對第一個報告漏洞的人或者集體，都會公開致謝。“對于安全研究人員而言，這種名聲也會非常在意?！绷帜曊f，獲得廠商致謝的次數(shù)，也是網(wǎng)絡安全行業(yè)的研究人員比拼的東西，“你今年得到了5次致謝，我得到了10次，我就比你?！?。

另外，“咱們的漏洞平臺又修復不了，這就是為什么要報給原廠商?！绷帜曊f。

但是，除了行業(yè)規(guī)則，國家相關(guān)部門在今年有了新的規(guī)定。2021年7月，工信部、網(wǎng)信辦和公安部聯(lián)合下發(fā)的《關(guān)于印發(fā)網(wǎng)絡產(chǎn)品安全漏洞管理規(guī)定的通知》中規(guī)定，發(fā)現(xiàn)或者獲知所提供網(wǎng)絡產(chǎn)品存在安全漏洞后，應當立即采取措施并組織對安全漏洞進行驗證，評估安全漏洞的危害程度和影響范圍；對屬于其上游產(chǎn)品或者組件存在的安全漏洞，應當立即通知相關(guān)產(chǎn)品提供者。

該通知同時規(guī)定，發(fā)現(xiàn)漏洞后，還應當在2日內(nèi)向工信部網(wǎng)絡安全威脅和漏洞信息共享平臺（CNVD）報送相關(guān)漏洞信息。

上述安全專家猜測，工程師一般本著解決軟件漏洞的思維，重點放在解決技術(shù)問題上，對于上報、政策等環(huán)節(jié)或許沒有經(jīng)驗，但此次事件反映出云計算廠商還需增強在安全漏洞方面的敏感度。

“過去這么多年的規(guī)矩都是這樣的，阿里云也是按照老黃歷來辦事的，只不過現(xiàn)在的政策有不同的要求了，大的形勢也不一樣了?！绷帜曊f，“阿里云不見得是有意為之。”

“阿里云這次如果是兩邊同時報了會好一點，或者時間差不要這么大?！绷帜曊f，國內(nèi)還是通過外媒的炒作才知道有這么一個漏洞。

在復雜的國際形勢下，阿里云的做法顯得非常不合時宜?！案舯谑浅鸺?，你告訴仇家你的門沒關(guān)好，你啥意思？而且不僅僅是涉及他們家的門，我們家也用了這個門，你是不是應該先告訴自己家？”林默聲打了個比方，這個漏洞不僅僅是原廠商的問題，也與國內(nèi)利益息息相關(guān)?？陀^上，攻擊者可以利用這個漏洞修補的間隙來攻擊國內(nèi)的基礎(chǔ)設(shè)施。

但也有分析認為，阿里云起初并沒有意識到這個漏洞的嚴重性。這一點從阿里云官方聲明中也能得到核實?！霸诎l(fā)現(xiàn)該安全bug后，按業(yè)界慣例以郵件方式向軟件開發(fā)方Apache開源社區(qū)報告這一問題并請求幫助。因在早期未意識到該漏洞的嚴重性，未及時共享漏洞信息?！?/p>

從示范到示警

阿里云作為國內(nèi)最大的云計算公司，此前一直是其他云計算公司學習的對象。

今年，阿里云迎來了自己的第三個盈利季度，是第二家宣布盈利的行業(yè)選手，而第一家是亞馬遜的AWS。十年間，盡管云計算行業(yè)從小眾走向輝煌，但虧損難題一直是云企內(nèi)部的心病，如鯁在喉。

一直以來，國內(nèi)云計算發(fā)展重心根植于重資產(chǎn)的IaaS而非高毛利的SaaS產(chǎn)品，重資產(chǎn)意味著高投入，馬云十年前內(nèi)部講話的那句“每年投10億，投個10年，做不出來再說”尤在耳畔，云計算堪比碎鈔機，能否盈利？起碼在國內(nèi)是一個沒有無解的題目。

現(xiàn)在，阿里云的盈利成績單給出了解題思路，一位業(yè)內(nèi)人士告訴《財經(jīng)天下》周刊，阿里云摸著石頭過河，其他廠商摸著阿里云過河。

腳踩著堅硬石頭，阿里云將云和釘釘打通為一體，將云的基礎(chǔ)能力通過釘釘呈現(xiàn)給企業(yè)用戶，提高業(yè)務數(shù)字化效率，這種模式也曾是微軟切入云的重要工具，憑借Azure云+Teams組合拳，微軟在云計算行業(yè)中崛起并縮小了與AWS的差距。

如今有樣學樣，阿里云在云上構(gòu)建中臺、數(shù)據(jù)中心等基礎(chǔ)設(shè)施，落地則由釘釘?shù)膽脠?zhí)行，直接調(diào)用云上工具。在企業(yè)尋求數(shù)字化轉(zhuǎn)型時，可以通過這套流程直接購買大型系統(tǒng)，再適配企業(yè)間的具體業(yè)務模塊，用低代碼開發(fā)應用，直接上云。

在今年舉行的云棲大會上，《財經(jīng)天下》周刊獨家獲悉，阿里云內(nèi)部再一次組織梳理與升級，云釘一體后，平頭哥與云智能、達摩院部門實現(xiàn)平級。平頭哥是阿里巴巴旗下芯片公司，由達摩院和中天微共同成立，原本是阿里達摩院旗下組織，達摩院被視作是阿里內(nèi)部的“核高基”項目組，其下設(shè)語音、視覺、智能計算、量子等多個實驗室，是主攻前沿技術(shù)的機構(gòu)平臺。

這體現(xiàn)了平頭哥、達摩院和云計算在技術(shù)上分層、協(xié)同的狀態(tài)，平頭哥從底層芯片提供彈性、通用資源，相當于云的底座；達摩院在上層提供數(shù)據(jù)化、智能化的可能性。

過去十年，云計算屬于技術(shù)人員，未來，云計算將橫向拓展至非互聯(lián)網(wǎng)企業(yè)的生態(tài)中，將有更多非技術(shù)性傳統(tǒng)企業(yè)知道如何用云，這是阿里云探索出的云方向，這一趨勢或?qū)⒔o中國云市場帶來更多的利潤空間。

云作為一種商業(yè)模式，在中國市場終于“跑通”了基礎(chǔ)邏輯，開始變現(xiàn)?？梢哉f，此時此刻，阿里云的一舉一動都對行業(yè)起著示范效應。

但這次的漏洞披露事件，則是一次警醒，作為頭部的云計算企業(yè)需要更嚴苛的標準要求自己。

今年年中，浙江省通信管理局通報阿里云未經(jīng)用戶同意擅自將用戶留存的注冊信息泄露給第三方合作公司，自查后的阿里云稱是內(nèi)部電銷員工違反紀律，潦草蓋過質(zhì)疑聲。

《財經(jīng)天下》周刊獲悉，相比大眾的質(zhì)疑聲浪，行業(yè)內(nèi)部的整頓從上周末便已開始。一家小型云計算的企業(yè)負責人何野（化名）說，上周五，先是召集了主力工程師打補丁，內(nèi)部評測的結(jié)果是漏洞的挖掘難度不是非常大。本周公司會再梳理一遍流程制度，用于程序員培訓。

如果業(yè)務體量不大，對于上報流程和政策解讀確實會有所缺失。這則事件確實敲響了警鐘，不能低估影響面，“有些事不上秤沒有二兩重，一上秤一千斤也打不住?！焙我皳糁辛藛栴}的要害，“這種問題，早發(fā)現(xiàn)、早解決，對阿里云和其他網(wǎng)絡安全威脅信息共享平臺成員都是有益的?！?/p>

關(guān)鍵詞： 漏洞 阿里云 安全漏洞 財經(jīng)天下 廠商 工信部 微軟 周刊