出品|虎嗅科技組
作者|張雪
封面|CFP
12月22日下午,據(jù)中國(guó)日?qǐng)?bào)報(bào)道,工信部相關(guān)人士向其記者確認(rèn)�,因發(fā)現(xiàn)嚴(yán)重漏洞未及時(shí)報(bào)告�����,阿里云計(jì)算有限公司(阿里云)被暫停工信部網(wǎng)絡(luò)安全威脅信息共享平臺(tái)合作單位6個(gè)月�。
對(duì)于“暫停”原因�����,工信部也做了相關(guān)通報(bào):
阿里云發(fā)現(xiàn)阿帕奇(Apache)Log4j2組件嚴(yán)重安全漏洞隱患后�����,未及時(shí)向電信主管部門報(bào)告����,未有效支撐工信部開展網(wǎng)絡(luò)安全威脅和漏洞管理����。
通報(bào)指出,阿里云是工信部網(wǎng)絡(luò)安全威脅信息共享平臺(tái)合作單位�����。經(jīng)研究�����,工信部網(wǎng)絡(luò)安全管理局決定暫停阿里云作為上述合作單位6個(gè)月。暫停期滿后���,根據(jù)阿里云整改情況��,研究恢復(fù)其上述合作單位���。
此外,有微博網(wǎng)友指出里面在這個(gè)漏洞發(fā)現(xiàn)和處理的過程中�,阿里云有多重身份,它同時(shí)涉及了《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》里的:網(wǎng)絡(luò)運(yùn)營(yíng)者����,從事漏洞發(fā)現(xiàn)、收集����、披露等活動(dòng)的組織或個(gè)人,網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺(tái)���。
在從事漏洞發(fā)現(xiàn)�、收集��、披露等活動(dòng)的組織或個(gè)人身份下���,阿里云首先發(fā)現(xiàn)了漏洞�,是漏洞發(fā)現(xiàn)的組織。這個(gè)身份的義務(wù)是按規(guī)定規(guī)范流程來公開漏洞��,且不能報(bào)送給除產(chǎn)品提供者 (這里是 Apache)的境外組織�,阿里云遵守了作為漏洞發(fā)現(xiàn)組織的流程和義務(wù)。
作為網(wǎng)絡(luò)運(yùn)營(yíng)者���,阿里云提供的網(wǎng)絡(luò)服務(wù)可能使用了Log4j2���,從而出現(xiàn)安全漏洞�。阿里云這個(gè)身份的義務(wù)是立即采取措施,及時(shí)對(duì)安全漏洞進(jìn)行驗(yàn)證并完成修補(bǔ)����。理論上講,阿里云也較好地完成了這個(gè)身份的義務(wù)�����。
而根據(jù)《網(wǎng)絡(luò)安全法》����,網(wǎng)絡(luò)服務(wù)方發(fā)現(xiàn)其網(wǎng)絡(luò)產(chǎn)品����、服務(wù)存在安全缺陷漏洞應(yīng)當(dāng)按照規(guī)定及時(shí)向有關(guān)主管部門報(bào)告���。對(duì)于這條��,阿里云可能有違規(guī)行為��。
同時(shí)����,由于阿里云又是網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺(tái)��,也是工信部網(wǎng)絡(luò)安全威脅信息共享平臺(tái)合作單位���。在該身份下�����,阿里云“未有效支撐工信部開展網(wǎng)絡(luò)安全威脅和漏洞管理”��,而這一點(diǎn)則是阿里云這次被處罰的關(guān)鍵��。
據(jù)公開資料��,阿里云11月24日就發(fā)現(xiàn)了上述漏洞��,而這個(gè)漏洞被認(rèn)為可能是“計(jì)算機(jī)歷史上最大的漏洞”��,隨后其率先向阿帕奇軟件基金會(huì)(即軟件的運(yùn)維方)披露了該漏洞���,但并末及時(shí)向工信部通報(bào)相關(guān)信息���。
隨后,奧地利和新西蘭官方的計(jì)算機(jī)應(yīng)急小組率先對(duì)這一漏洞進(jìn)行預(yù)警��,而中國(guó)工信部是在收到網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)報(bào)告后����,才發(fā)現(xiàn)阿帕奇Log4j2組件存在嚴(yán)重安全漏洞�����。
其實(shí)����,在22日一早,阿里云就曾登上熱搜����,討論度也是居高不下��。而在這場(chǎng)討論中���,大致可以分為兩個(gè)陣營(yíng),其一�,有部分人認(rèn)為,從技術(shù)的角度出發(fā)�,阿里云做法不能算錯(cuò)。其二����,另一部分人認(rèn)為,阿里云未能履行合作要求����,處罰過輕。
對(duì)于這兩種觀點(diǎn)���,我們不做任何評(píng)價(jià)���,本文只是探討該漏洞到底是什么,為何危害如此嚴(yán)重。
據(jù)悉����,Log4j是被廣泛應(yīng)用在服務(wù)器上的軟件,Log4j2組件漏洞影響了許多云服務(wù)��,涉及到政務(wù)部門和大多數(shù)企業(yè)���。相關(guān)研究表明�����,93%的云環(huán)境都存在漏洞風(fēng)險(xiǎn)����,盡管現(xiàn)在有45%的易受攻擊的云資源已被修補(bǔ)�����。
據(jù)一位程序員朋友稱���,從12月10日以來,他們整個(gè)公司都在改Log4j2組件的Bug���,他后來又補(bǔ)了一句稱�����,應(yīng)該是所有公司都在改這個(gè)Bug�。原因在于,Log4j這個(gè)庫(kù)太基礎(chǔ)�,應(yīng)用太廣,所以影響了很多公司�。
另一位開源行業(yè)從業(yè)者也無奈表示,誰(shuí)也想不到那么基礎(chǔ)��,用的那么多的一個(gè)庫(kù)會(huì)有這么嚴(yán)重的漏洞����。
相關(guān)文件指出:“該漏洞可能導(dǎo)致設(shè)備遠(yuǎn)程控制,可能導(dǎo)致敏感信息被盜���、設(shè)備服務(wù)中斷等嚴(yán)重危害����。這是一個(gè)高風(fēng)險(xiǎn)的漏洞”��。
通俗來講�����,這個(gè)漏洞允許網(wǎng)絡(luò)犯罪分子未經(jīng)許可在系統(tǒng)上運(yùn)行惡意代碼,然后接管組織的整個(gè)服務(wù)器�����,也相當(dāng)于我們把自己家的鑰匙給了路人���。
在微軟此前對(duì)該漏洞也發(fā)出了警告�,它指出 Log4j2的雙管齊下問題是一個(gè)缺陷�,其中包括輕松利用其漏洞的能力以及基于它構(gòu)建的產(chǎn)品數(shù)量。Apache Log4j2是當(dāng)前使用的最流行的Java 日志庫(kù)之一��。
具體來說�,日志庫(kù)用于為開發(fā)人員提供有關(guān)服務(wù)和產(chǎn)品的附加信息,讓他們控制在應(yīng)用程序執(zhí)行期間或用戶登錄特定服務(wù)或設(shè)備的錯(cuò)誤報(bào)告或功能問題時(shí)收集的數(shù)據(jù)量��。
使用日志庫(kù)時(shí)���,開發(fā)人員可以深入了解或收集有關(guān)設(shè)備的信息�����,包括 CPU 類型���、GPU 型號(hào)、驅(qū)動(dòng)程序版本��、系統(tǒng)內(nèi)存等�。
對(duì)于這個(gè)漏洞的影響,如果用一個(gè)比喻來形容��,可以說是軟件行業(yè)的“新冠病毒”����。
據(jù)網(wǎng)絡(luò)安全公司Check Point稱,迄今為止���,Log4j在GitHub項(xiàng)目的下載量已超過400000次����。更糟糕的是��,它被全球多數(shù)的流行公司使用���,其中不僅包括微軟����,還包括Twitter、蘋果����、亞馬遜、百度��、網(wǎng)易等��。
我們知道����,開源軟件的全球化和開放共享的特性使得任何一個(gè)非常底層和基礎(chǔ)的開源組件的漏洞都有可能像一個(gè)新冠病毒一樣快速傳播,對(duì)全球的數(shù)字化產(chǎn)業(yè)帶來無法估量的影響�����。而這種影響的持續(xù)時(shí)間可能是3~5年��,甚至更長(zhǎng)��。
與此同時(shí)����,由于Log4j屬于開源軟件,所以關(guān)于開源軟件安全性這種老生常談的話題又被擺在了明面上����。
不過大部分人認(rèn)為����,“所有軟件��,無論是開源的還是閉源的��,都存在潛在的網(wǎng)絡(luò)安全漏洞�����。我們現(xiàn)在才知道如何將檢測(cè)和修復(fù)��。而開源安全基金會(huì)的項(xiàng)目都是有小團(tuán)隊(duì)進(jìn)行維護(hù)的���,并得到了技術(shù)供應(yīng)商的強(qiáng)力支持?��!?/p>
值得慶幸的是����,這個(gè)漏洞雖然很大�����,但一般來講要執(zhí)行命令,還會(huì)有其他驗(yàn)證��。也正是如此�����,現(xiàn)在還沒有造成巨大損失的案例出現(xiàn)�。
但也有專業(yè)人士指出:“在未來幾周和幾個(gè)月內(nèi),該漏洞引發(fā)勒索軟件攻擊的可能性“非常高”��,這只是時(shí)間問題����。”
一個(gè)值得注意的事實(shí)是�����,當(dāng)前市面上已經(jīng)出現(xiàn)了兩個(gè)針對(duì) Log4j漏洞的勒索軟件����,其中一個(gè)更是早期主要針對(duì)中國(guó),現(xiàn)在已將范圍擴(kuò)大到了美國(guó)和歐洲。
有高級(jí)安全研究員表示:“中國(guó)的系統(tǒng)以及一些托管在美國(guó)和歐洲多個(gè)站點(diǎn)的亞馬遜和谷歌云服務(wù)中的系統(tǒng)都成為了目標(biāo)����。”
另外�����,業(yè)界普遍認(rèn)為該漏洞并不難修補(bǔ)��,到目前為止���,Apache 已經(jīng)發(fā)布了一個(gè)修復(fù)程序,該修復(fù)程序應(yīng)該涵蓋所有受影響的日志包版本��。
“軟件是一版一版的發(fā)布����,出問題的是老版本,新版已經(jīng)改掉了�,所以只要把之前引用的老版改成新的就可以了 ?���!鄙鲜龀绦騿T朋友談到。
不幸的是,每家公司都以不同的方式實(shí)施Log4j�����,而且他們應(yīng)用修復(fù)的速度仍然可能使數(shù)百萬客戶的數(shù)據(jù)暴露�����。
關(guān)鍵詞:
漏洞
阿里云
工信部
安全漏洞
組件
log4j2
apache
軟件
營(yíng)業(yè)執(zhí)照公示信息