01 危害堪比“永恒之藍(lán)”

“互聯(lián)網(wǎng)破了個洞,?！币患野踩襟w對此次Apache Log4j 漏洞的影響如此定義。

根據(jù)工信部12月17日發(fā)布的《關(guān)于阿帕奇Log4j2組件重大安全漏洞的網(wǎng)絡(luò)安全風(fēng)險提示》介紹,，阿帕奇（Apache）Log4j2組件是基于Java語言的開源日志框架，被廣泛用于業(yè)務(wù)系統(tǒng)開發(fā),，被發(fā)現(xiàn)的漏洞是遠(yuǎn)程代碼執(zhí)行漏洞,，該漏洞可能導(dǎo)致設(shè)備遠(yuǎn)程受控，進(jìn)而引發(fā)敏感信息竊取,、設(shè)備服務(wù)中斷等嚴(yán)重危害,，屬于高危漏洞。

“攻擊者僅需一段代碼就可遠(yuǎn)程控制受害者服務(wù)器,?！睋?jù)奇安信相關(guān)人士介紹，該漏洞利用方式十分簡單,，不需要用戶執(zhí)行任何多余操作即可觸發(fā)該漏洞,，90%以上基于java開發(fā)的應(yīng)用平臺都會受到影響，這意味著幾乎所有行業(yè)都會受到該漏洞影響,，包括蘋果,、三星、Steam等在內(nèi)的全球知名科技公司和電商網(wǎng)站的云服務(wù)都可能受到影響,。

阿帕奇軟件基金會將這一漏洞的嚴(yán)重性列為最高,，有專家表示，漏洞波及面和危害程度均堪比 2017年的“永恒之藍(lán)”漏洞,。

當(dāng)年,，黑客團(tuán)體公布了大批包括“永恒之藍(lán)”在內(nèi)的網(wǎng)絡(luò)攻擊工具，之后又有黑客將“永恒之藍(lán)”改造成wannacry勒索病毒,，一旦用戶進(jìn)行網(wǎng)絡(luò)連接，不需要做任何操作就可以令攻擊者植入遠(yuǎn)程控制木馬,、勒索軟件,、虛擬貨幣挖礦機(jī)等惡意程序。

“永恒之藍(lán)”的發(fā)生,，對全球大型企業(yè),、機(jī)構(gòu)政府產(chǎn)生了災(zāi)難性的打擊。

基于Apache Log4j漏洞而被攻擊的公司會受什么影響,？

一位白帽子悲觀地向《IT時報(bào)》記者表示,，黑客可利用該漏洞直接獲得目標(biāo)機(jī)器的最高權(quán)限（root權(quán)限），一旦服務(wù)器被攻擊,，基本等于“房門大開”,，所有“壞結(jié)果”都可能產(chǎn)生。

更糟糕的是,，這個漏洞是0day漏洞（零日漏洞）,，也即被發(fā)現(xiàn)時，官方還沒有相關(guān)補(bǔ)丁,，如果被黑產(chǎn)抓住時間差發(fā)起進(jìn)攻,，往往會有很大的突發(fā)性和破壞性。

12月9日消息傳出后,，安全圈“地震”,，據(jù)說有安全人員被連夜叫回公司加班開發(fā)解決方案。

與此同時,，黑客集團(tuán)也在和白帽子賽跑,。

據(jù)奇安信介紹，12月9日深夜,，僅一小時便收到白帽子提交的百余條該漏洞信息,，到第二天10日中午12點(diǎn)，已發(fā)現(xiàn)近1萬次利用該漏洞的攻擊行為,。

02 阿里云預(yù)警遲到被處罰

“阿里云被罰,，應(yīng)該是《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》（以下簡稱《規(guī)定》）實(shí)施后,，第一起根據(jù)新規(guī)執(zhí)行的安全事件?！币晃话酌弊痈嬖V記者,。

今年7月13日，工信部,、國家互聯(lián)網(wǎng)信息辦公室,、公安部聯(lián)合發(fā)布《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》，對漏洞的發(fā)現(xiàn),、報(bào)告,、修補(bǔ)和發(fā)布等行為做了明確規(guī)范，《規(guī)定》與《數(shù)據(jù)安全法》一起于9月1日起施行,。

《IT時報(bào)》記者查閱《規(guī)定》發(fā)現(xiàn),，其中第七條寫明：網(wǎng)絡(luò)產(chǎn)品提供者發(fā)現(xiàn)或者獲知所提供網(wǎng)絡(luò)產(chǎn)品存在安全漏洞后，應(yīng)當(dāng)立即采取措施并組織對安全漏洞進(jìn)行驗(yàn)證,，評估安全漏洞的危害程度和影響范圍,；對屬于其上游產(chǎn)品或者組件存在的安全漏洞，應(yīng)當(dāng)立即通知相關(guān)產(chǎn)品提供者,。

同時,，應(yīng)當(dāng)在2日內(nèi)向工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺（以下簡稱平臺）報(bào)送相關(guān)漏洞信息。

從此次漏洞被引爆的時間軸上看,，早在11月24日,，阿里云的一名程序員發(fā)現(xiàn)了這一漏洞，并通知了開發(fā)Log4j2組件的公司阿帕奇,，但并沒有根據(jù)《規(guī)定》在2日內(nèi)向工信部平臺報(bào)送相關(guān)信息,。

隨后，阿帕奇軟件基金會位于奧地利和新西蘭的官方計(jì)算機(jī)應(yīng)急小組,，開始對該漏洞展開追蹤,，并率先發(fā)布了相關(guān)問題的全球預(yù)警,。

中國官方得到的消息應(yīng)該是12月9日-10日,。工信部網(wǎng)絡(luò)安全管理局《關(guān)于阿帕奇Log4j2組件重大安全漏洞的網(wǎng)絡(luò)安全風(fēng)險提示》中提到，12月9日收到有關(guān)網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)報(bào)告,。