原標(biāo)題：阿里云回應(yīng)未及時(shí)報(bào)告重大漏洞：早期未意識到嚴(yán)重性

23日,，阿里云在官方微信公眾號發(fā)布關(guān)于開源社區(qū)Apache log4j2漏洞情況的說明,。

說明稱,，阿里云因在早期未意識到該漏洞的嚴(yán)重性,，未及時(shí)共享漏洞信息,。

阿里云表示,，Log4j2 是開源社區(qū)阿帕奇(Apache)旗下的開源日志組件,，被全世界企業(yè)和組織廣泛應(yīng)用于各種業(yè)務(wù)系統(tǒng)開發(fā),。

阿里云稱，近日,，阿里云一名研發(fā)工程師發(fā)現(xiàn)Log4j2 組件的一個(gè)安全bug,，遂按業(yè)界慣例以郵件方式向軟件開發(fā)方Apache開源社區(qū)報(bào)告這一問題請求幫助。

Apache開源社區(qū)確認(rèn)這是一個(gè)安全漏洞,，并向全球發(fā)布修復(fù)補(bǔ)丁,。

隨后，該漏洞被外界證實(shí)為一個(gè)全球性的重大漏洞,。

阿里云表示,，因在早期未意識到該漏洞的嚴(yán)重性，未及時(shí)共享漏洞信息,。

阿里云將強(qiáng)化漏洞管理,、提升合規(guī)意識，積極協(xié)同各方做好網(wǎng)絡(luò)安全風(fēng)險(xiǎn)防范工作,。

最近,，一則處罰通知在白帽子圈“刷屏”。

這則落款為工信部網(wǎng)絡(luò)安全管理局的通報(bào)顯示,，阿里云計(jì)算有限公司（簡稱阿里云）發(fā)現(xiàn)阿帕奇（Apache）Log4j2組件嚴(yán)重安全漏洞隱患后,，未及時(shí)向電信主管部門報(bào)告，未有效支撐工信部開展網(wǎng)絡(luò)安全威脅和漏洞管理,，經(jīng)研究,，工信部網(wǎng)絡(luò)安全管理局決定暫停阿里云作為工信部網(wǎng)絡(luò)安全威脅信息共享平臺合作單位6個(gè)月。

這則通報(bào)讓一個(gè)已攪動(dòng)安全圈半個(gè)月的“超級漏洞”呈現(xiàn)在世人面前,。

據(jù)《IT時(shí)報(bào)》記者了解,，阿帕奇漏洞危害堪比“永恒之藍(lán)”，影響服務(wù)器可達(dá)數(shù)億臺,，亞馬遜,、NSA、谷歌,、蘋果,、Steam、推特等大型互聯(lián)網(wǎng)公司均可能受其影響,。

同時(shí),，黑產(chǎn)已蠢蠢欲動(dòng)，一些利用阿帕奇漏洞注入勒索病毒的攻擊已經(jīng)開始,，如比利時(shí)國防部已確認(rèn),，因遭遇 Apache Log4j 攻擊,，部分計(jì)算機(jī)網(wǎng)絡(luò)處于癱瘓狀態(tài),。

01 危害堪比“永恒之藍(lán)”

“互聯(lián)網(wǎng)破了個(gè)洞,。”一家安全媒體對此次Apache Log4j 漏洞的影響如此定義,。

根據(jù)工信部12月17日發(fā)布的《關(guān)于阿帕奇Log4j2組件重大安全漏洞的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)提示》介紹,，阿帕奇（Apache）Log4j2組件是基于Java語言的開源日志框架，被廣泛用于業(yè)務(wù)系統(tǒng)開發(fā),，被發(fā)現(xiàn)的漏洞是遠(yuǎn)程代碼執(zhí)行漏洞,，該漏洞可能導(dǎo)致設(shè)備遠(yuǎn)程受控，進(jìn)而引發(fā)敏感信息竊取,、設(shè)備服務(wù)中斷等嚴(yán)重危害,，屬于高危漏洞。

“攻擊者僅需一段代碼就可遠(yuǎn)程控制受害者服務(wù)器,?！睋?jù)奇安信相關(guān)人士介紹，該漏洞利用方式十分簡單,，不需要用戶執(zhí)行任何多余操作即可觸發(fā)該漏洞,，90%以上基于java開發(fā)的應(yīng)用平臺都會(huì)受到影響，這意味著幾乎所有行業(yè)都會(huì)受到該漏洞影響,，包括蘋果,、三星、Steam等在內(nèi)的全球知名科技公司和電商網(wǎng)站的云服務(wù)都可能受到影響,。

阿帕奇軟件基金會(huì)將這一漏洞的嚴(yán)重性列為最高,，有專家表示，漏洞波及面和危害程度均堪比 2017年的“永恒之藍(lán)”漏洞,。

當(dāng)年,，黑客團(tuán)體公布了大批包括“永恒之藍(lán)”在內(nèi)的網(wǎng)絡(luò)攻擊工具，之后又有黑客將“永恒之藍(lán)”改造成wannacry勒索病毒,，一旦用戶進(jìn)行網(wǎng)絡(luò)連接,，不需要做任何操作就可以令攻擊者植入遠(yuǎn)程控制木馬、勒索軟件,、虛擬貨幣挖礦機(jī)等惡意程序,。

“永恒之藍(lán)”的發(fā)生，對全球大型企業(yè),、機(jī)構(gòu)政府產(chǎn)生了災(zāi)難性的打擊,。

基于Apache Log4j漏洞而被攻擊的公司會(huì)受什么影響？

一位白帽子悲觀地向《IT時(shí)報(bào)》記者表示,，黑客可利用該漏洞直接獲得目標(biāo)機(jī)器的最高權(quán)限（root權(quán)限）,，一旦服務(wù)器被攻擊，基本等于“房門大開”,，所有“壞結(jié)果”都可能產(chǎn)生,。

更糟糕的是,，這個(gè)漏洞是0day漏洞（零日漏洞），也即被發(fā)現(xiàn)時(shí),，官方還沒有相關(guān)補(bǔ)丁,，如果被黑產(chǎn)抓住時(shí)間差發(fā)起進(jìn)攻，往往會(huì)有很大的突發(fā)性和破壞性,。

12月9日消息傳出后,，安全圈“地震”，據(jù)說有安全人員被連夜叫回公司加班開發(fā)解決方案,。

與此同時(shí),，黑客集團(tuán)也在和白帽子賽跑。

據(jù)奇安信介紹,，12月9日深夜,，僅一小時(shí)便收到白帽子提交的百余條該漏洞信息，到第二天10日中午12點(diǎn),，已發(fā)現(xiàn)近1萬次利用該漏洞的攻擊行為,。

02 阿里云預(yù)警遲到被處罰

“阿里云被罰，應(yīng)該是《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》（以下簡稱《規(guī)定》）實(shí)施后,，第一起根據(jù)新規(guī)執(zhí)行的安全事件,。”一位白帽子告訴記者,。

今年7月13日,，工信部、國家互聯(lián)網(wǎng)信息辦公室,、公安部聯(lián)合發(fā)布《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》,，對漏洞的發(fā)現(xiàn)、報(bào)告,、修補(bǔ)和發(fā)布等行為做了明確規(guī)范,，《規(guī)定》與《數(shù)據(jù)安全法》一起于9月1日起施行。

《IT時(shí)報(bào)》記者查閱《規(guī)定》發(fā)現(xiàn),，其中第七條寫明：網(wǎng)絡(luò)產(chǎn)品提供者發(fā)現(xiàn)或者獲知所提供網(wǎng)絡(luò)產(chǎn)品存在安全漏洞后,，應(yīng)當(dāng)立即采取措施并組織對安全漏洞進(jìn)行驗(yàn)證，評估安全漏洞的危害程度和影響范圍,；對屬于其上游產(chǎn)品或者組件存在的安全漏洞,，應(yīng)當(dāng)立即通知相關(guān)產(chǎn)品提供者。

同時(shí),，應(yīng)當(dāng)在2日內(nèi)向工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺（以下簡稱平臺）報(bào)送相關(guān)漏洞信息,。

從此次漏洞被引爆的時(shí)間軸上看，早在11月24日,，阿里云的一名程序員發(fā)現(xiàn)了這一漏洞,，并通知了開發(fā)Log4j2組件的公司阿帕奇,，但并沒有根據(jù)《規(guī)定》在2日內(nèi)向工信部平臺報(bào)送相關(guān)信息。

隨后,，阿帕奇軟件基金會(huì)位于奧地利和新西蘭的官方計(jì)算機(jī)應(yīng)急小組，開始對該漏洞展開追蹤,，并率先發(fā)布了相關(guān)問題的全球預(yù)警,。

中國官方得到的消息應(yīng)該是12月9日-10日。工信部網(wǎng)絡(luò)安全管理局《關(guān)于阿帕奇Log4j2組件重大安全漏洞的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)提示》中提到,，12月9日收到有關(guān)網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)報(bào)告,。

《IT時(shí)報(bào)》記者從國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的一則公告上則看到，12月10日,，國家信息安全漏洞共享平臺（CNVD）收錄了Apache Log4j2遠(yuǎn)程代碼執(zhí)行漏洞（CNVD-2021-95914）,，目前，漏洞利用細(xì)節(jié)已公開,，阿帕奇官方已發(fā)布補(bǔ)丁修復(fù)該漏洞,。CNVD建議受影響用戶立即更新至最新版本，同時(shí)采取防范性措施避免漏洞攻擊威脅,。

然而,，此時(shí)距離第一次發(fā)現(xiàn)漏洞已經(jīng)過去半個(gè)月。

03 “挖”漏洞合規(guī)更重要

“國家對網(wǎng)絡(luò)漏洞管理進(jìn)行強(qiáng)監(jiān)管的背景是,，關(guān)于網(wǎng)絡(luò)安全的黑白之爭越來越激烈,。”在一位安全界人士看來,，阿里云此次被罰并不冤,，作為中國最大的云服務(wù)商，合規(guī)意識如此薄弱,，的確不應(yīng)該,。

近兩年來，發(fā)生在安全領(lǐng)域的攻擊事件呈直線上升的態(tài)勢,，甚至在全球范圍內(nèi)出現(xiàn)幾個(gè)規(guī)?；⒔M織化的黑客勒索組織,。

今年5月,，迫使美國最大的成品油管道運(yùn)營商Colonial Pipeline關(guān)閉了一條關(guān)鍵的運(yùn)輸管道的勒索病毒襲擊，便來自一家名為“暗面”（DarkSide）的組織,。

這些黑客組織嗅覺靈敏,，不但研發(fā)軟件、培訓(xùn)“下線”,，甚至還將勒索襲擊當(dāng)做一門生意運(yùn)營,，專門針對一些重要公司進(jìn)行定向,、高索賠額的病毒攻擊。

Apache Log4j2漏洞被公開后,，網(wǎng)絡(luò)安全公司Crowdstrike高級副主席邁耶斯（Adam Meyers）便曾表示,，截至美國時(shí)間12月10日，黑客已經(jīng)將漏洞“完全武器化”,，還開發(fā)出利用該漏洞的攻擊工具向外分發(fā),。

據(jù)上述安全界人士介紹，網(wǎng)絡(luò)安全公司報(bào)告漏洞的傳統(tǒng)做法是先通知廠商,，然后等廠商打好補(bǔ)丁后,，再向社區(qū)公開，讓所有使用該產(chǎn)品的企業(yè)及時(shí)修復(fù)漏洞,。

但從發(fā)現(xiàn)漏洞到打好補(bǔ)丁之間畢竟有時(shí)間差,，很容易被黑客借此打個(gè)“閃電戰(zhàn)”。

尤其是開源軟件,，有些程序員習(xí)慣性地在開源社區(qū)內(nèi)討論一些細(xì)節(jié),，也有可能在不知不覺中被黑客找到機(jī)會(huì)。

尤其像Log4j2組件漏洞這樣的普遍性問題,，由于涉及面太廣,，很難確保這條傳統(tǒng)路徑可以將信息傳遞給所有客戶。

近兩年來,，各個(gè)國家對于網(wǎng)絡(luò),、數(shù)據(jù)安全越發(fā)重視，各種相關(guān)法規(guī)條例相繼出臺,。

和《規(guī)定》一樣在今年9月1日實(shí)施的《數(shù)據(jù)安全法》第29條也規(guī)定：數(shù)據(jù)處理者發(fā)現(xiàn)數(shù)據(jù)安全缺陷,、漏洞等風(fēng)險(xiǎn)時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施,；發(fā)生數(shù)據(jù)安全事件時(shí),，應(yīng)當(dāng)立即采取處置措施，按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告,。

“無論是安全公司還是云服務(wù)商,，都應(yīng)該將這些法規(guī)細(xì)化為可執(zhí)行的操作規(guī)范，固定下來,，但這種合規(guī)性要求,，對于不少‘草莽’起家的民營白帽子公司是個(gè)全新領(lǐng)域，需要好好琢磨,?！币晃话酌弊油嘎叮⒗镌票惶幜P后，公司一直在討論如何在合規(guī)前提下,，為客戶提供及時(shí)有效的安全服務(wù),，甚至在考慮轉(zhuǎn)型做一些相對模式較“重”的安全防御，在發(fā)現(xiàn)漏洞并上報(bào)的時(shí)間差里,，先第一時(shí)間阻斷攻擊路徑,，“只是成本肯定會(huì)因此上升?！?/p>