本文字數(shù)：3534，閱讀時長大約6分鐘

文 |《財經》E法 劉暢

編輯 | 朱弢

阿里云因一次安全隱患登上熱搜。

12月17日，工業(yè)和信息化部網(wǎng)絡安全管理局通報稱，提醒有關單位和公眾“密切關注阿帕奇Log4j2組件漏洞補丁發(fā)布，排查自有相關系統(tǒng)阿帕奇Log4j2組件使用情況，及時升級組件版本”。

“阿帕奇（Apache）Log4j2組件”是基于Java語言的開源日志框架，包括控制Java類系統(tǒng)日志信息生成、打印輸出、格式配置等，大量的業(yè)務框架都使用了該組件，因此被廣泛應用于各種應用程序和網(wǎng)絡服務。

此通報一出，引發(fā)“IT”圈的震動。

“前幾天一直在加班加點做補丁，”一位搜索引擎網(wǎng)站的開發(fā)工程師對《財經》E法表示，“這個組件覆蓋面極大，影響到的企業(yè)也非常多。我認識的大多數(shù)業(yè)內同行都在為這事兒加班。這是一個“超級史詩”漏洞?！?/p>

12月22日，有接近工信部的消息人士透露，工信部網(wǎng)絡安全管理局的一次內部通報指出，因阿里云公司發(fā)現(xiàn)Log4j2組件嚴重安全漏洞隱患后，未及時向主管部門報告，未有效支撐工信部開展網(wǎng)絡安全威脅和漏洞管理，阿里云被暫停工信部網(wǎng)絡安全威脅信息共享平臺合作單位6個月。暫停期滿后，根據(jù)阿里云的整改情況，研究恢復其上述合作單位。

12月23日晚間，阿里云通過官方微信公號發(fā)布了聲明，稱“因在早期未意識到該漏洞的嚴重性，未及時共享漏洞信息”，并強調將強化漏洞管理、提升合規(guī)意識。

Log4j2組件的這個漏洞可能的影響究竟多大？阿里云又為何被處罰？

01

Log4j2組件是什么？漏洞影響有多大？

在12月23日晚間的通報中，阿里云表示：“近日，阿里云一名研發(fā)工程師發(fā)現(xiàn)Log4j2 組件的一個安全bug，遂按業(yè)界慣例以郵件方式向軟件開發(fā)方Apache開源社區(qū)報告這一問題請求幫助。Apache開源社區(qū)確認這是一個安全漏洞，并向全球發(fā)布修復補丁。隨后，該漏洞被外界證實為一個全球性的重大漏洞?！?/p>

阿里云微信公眾號23日晚間發(fā)布的情況說明。

工信部在12月17日發(fā)布的通報中表示，自身是于12月9日接到“有關網(wǎng)絡安全專業(yè)機構”報告，稱Log4j2 組件存在“嚴重安全漏洞”。

而阿里云官網(wǎng)則于12月9日晚11時左右發(fā)布漏洞通告，稱安全團隊發(fā)現(xiàn)Apache Log4j 2.15.0-rc1版本存在漏洞繞過，要求用戶及時更新版本，并向用戶介紹該漏洞的具體背景及相應的修復方案。

一個值得注意的細節(jié)是，多位IT界人士對《財經》E法透露，根據(jù)自已所在公司的內部通報和“各類信息來源”，阿里云可能在更早的11月末就已發(fā)現(xiàn)這一重大漏洞“Log4Shell”，并向總部位于美國的阿帕奇軟件基金會（Apache Software Foundation）報告。

阿帕奇軟件基金會（Apache）于1999年在美國成立，是專門為支持開源軟件項目而辦的一個非營利性組織。在它所支持的Apache項目與子項目中，所發(fā)行的軟件產品都遵循Apache許可證（Apache License）。

阿里云官網(wǎng)12月9日晚發(fā)布的漏洞通告。

12月14日，中國國家信息安全漏洞共享平臺發(fā)布《Apache Log4j2遠程代碼執(zhí)行漏洞排查及修復手冊》，供相關單位、企業(yè)及個人參考。

12月14日中國國家信息安全漏洞共享平臺發(fā)布的《Apache Log4j2遠程代碼執(zhí)行漏洞排查及修復手冊》截圖。

12月22日，工信部發(fā)布內部通報，決定暫停阿里云作為工信部網(wǎng)絡安全威脅信息共享平臺合作單位6個月。

多位程序員向《財經》E法表示，作為最常用的Java程序日志監(jiān)控組件和Java全生態(tài)的基礎組件之一，Log4j2一旦出現(xiàn)問題，影響將是“災難性的”。

小盾安全產品技術專家趙山對《財經》E法指出，Apache Log4j 是目前最為優(yōu)秀的開源 Java 日志記錄工具之一，被大量應用于互聯(lián)網(wǎng)業(yè)務系統(tǒng)的開發(fā)和應用，Log4j 2為其重要的升級版本。

“該漏洞風險是由Log4j 2 提供的lookup功能造成的，該功能允許通過一些協(xié)議去讀取相應環(huán)境中的配置，且未對輸入進行嚴格的判斷，使得攻擊者可以通過JNDI注入實現(xiàn)遠程加載惡意類到應用中，從而控制終端設備。”趙山表示。

趙山為互聯(lián)網(wǎng)企業(yè)提出應急、排查、升級“三步走”的防護策略。

“第一步，止血是關鍵，要啟動WAF/IPS等安全設備，創(chuàng)建有效的防護規(guī)則和策略?！壁w山表示。

接下來則應排查應用是否引入Apache Log4j-core Jar包?！叭舸嬖谝蕾囈?，且在受影響版本范圍內，建議在不影響現(xiàn)有應用的前提下盡快升級最新版本?！壁w山說。

此外，升級已知受影響的應用及組件及jdk版本（即Java 語言的軟件開發(fā)工具包），也可在一定程度上限制JNDI等漏洞利用方式。

據(jù)Canalys發(fā)布中國云計算市場2021年第三季度報告顯示，阿里云、華為云、騰訊云和百度云占據(jù)第一梯隊，其中阿里云市場份額排名第一，份額為38.3%，華為云為17%，騰訊云為16.6%，百度云為8.2%。

12月22日，阿里巴巴港股開盤下跌，截至收盤跌幅5.14%；23日，跌幅1.39％；截至今日港股收盤，阿里巴巴報收113港元，跌幅0.26％，市值2.45萬億港元。

02

對中國網(wǎng)絡安全界的一次警示

隨著阿帕奇軟件基金會于12月9日披露Log4j漏洞，蘋果、亞馬遜、IBM、微軟、推特等全球大量可能受到這一漏洞影響的互聯(lián)網(wǎng)公司均發(fā)布相關風險提示和警告。

“這個漏洞影響的是全球幾乎所有的互聯(lián)網(wǎng)企業(yè)?！鼻笆鏊阉饕婀こ處煂Α敦斀洝稥法表示。

美國網(wǎng)絡安全與基礎設施安全局(Cybersecurity and Infrastructure Security Agency，下稱CISA)局長簡·伊斯特利（Jen Easterly）在美國時間19日發(fā)表的一份聲明中稱：“要明確的是，這個漏洞構成嚴重風險?！?/p>

12月24日，阿里的合作方石基信息在互動平臺回應“阿里云被暫停工信部網(wǎng)絡安全威脅信息共享平臺合作單位，對公司是否有影響”時表示，目前阿里云已經解決了相關技術問題，“此事件亦不會對公司國內開發(fā)的使用阿里云的產品產生顯著影響”。

2021年9月1日，為落實《網(wǎng)絡產品安全漏洞管理規(guī)定》（下稱《規(guī)定》）有關要求，工信部網(wǎng)絡安全管理局組織建設的網(wǎng)絡安全威脅和漏洞信息共享平臺正式上線運行。

《規(guī)定》第七條第二項要求，網(wǎng)絡產品提供者“應當在2日內向工業(yè)和信息化部網(wǎng)絡安全威脅和漏洞信息共享平臺報送相關漏洞信息。報送內容應當包括存在網(wǎng)絡產品安全漏洞的產品名稱、型號、版本以及漏洞的技術特點、危害和影響范圍等”。

對外經濟貿易大學數(shù)字經濟與法律創(chuàng)新研究中心主任許可指出，如果阿里云此次是自己的產品和服務中存在漏洞，應按照上述規(guī)定進行處理；但若并非自己的產品或服務，目前相關規(guī)定仍需進一步完善。

許可進一步指出，阿里云這一次被暫停相關共享資質“算不上行政處罰，只是一個軟法規(guī)制”。他表示，《網(wǎng)絡安全法》第三十九條對于網(wǎng)絡安全信息的共享問題做出過規(guī)定，但相關制度并未得到落實。在剛剛生效的《數(shù)據(jù)安全法》第二十二條提出，“國家建立集中統(tǒng)一、高效權威的數(shù)據(jù)安全風險評估、報告、信息共享、監(jiān)測預警機制”。

“如果要建立起這樣一種安全機制，就應當去報送相應信息安全方面的材料。但在《網(wǎng)絡安全法》和《數(shù)據(jù)安全法》中，都沒有對于相關風險信息、安全信息的報送和共享制訂明確的規(guī)則?！痹S可指出，除了這兩部法律，在工信部近日起草的《工業(yè)和信息化領域數(shù)據(jù)安全風險信息報送與共享工作指引（試行）》稿中，對于相關的安全風險信息的報送和共享也提出了相應要求，但現(xiàn)在仍處于征求意見稿階段。

“所以，對這一問題現(xiàn)在仍沒有特別明確的法律程序和具體操作指引。此次阿里云事件，反映出信息安全信息共享的相關立法還有待進一步完善?！痹S可總結。

世輝律師事務所合伙人王新銳則認為，根據(jù)前述《規(guī)定》及工信部2017年公布的《公共互聯(lián)網(wǎng)網(wǎng)絡安全威脅監(jiān)測與處置辦法》中第六條“相關專業(yè)機構、基礎電信企業(yè)、網(wǎng)絡安全企業(yè)、互聯(lián)網(wǎng)企業(yè)、域名注冊管理和服務機構等監(jiān)測發(fā)現(xiàn)網(wǎng)絡安全威脅后，屬于本單位自身問題的，應當立即進行處置，涉及其他主體的，應當及時將有關信息按照規(guī)定的內容要素和格式提交至工業(yè)和信息化部和相關省、自治區(qū)、直轄市通信管理局”的規(guī)定，阿里云有義務報告這一漏洞。

“根據(jù)工信部網(wǎng)絡安全管理局的通報，阿里云發(fā)現(xiàn)阿帕奇Log4j2組件存在遠程代碼執(zhí)行漏洞。不論是在其自身的產品中涉及這一組件，還是在研發(fā)中發(fā)現(xiàn)這一組件存在漏洞，都有向工業(yè)和信息化部建立網(wǎng)絡安全威脅信息共享平臺報告的義務。尤其是，阿里云還是該共享平臺的合作單位?！蓖跣落J介紹。

但王新銳也指出，從這次通報的情況即“暫停作為合作單位6個月，期滿繼續(xù)恢復”這一角度來看，這并非是依據(jù)Log4j2漏洞對其作出的行政處罰，所以也要判斷阿里云“是否作為產品提供者而發(fā)現(xiàn)的這一漏洞”。

“阿里云這次若是在自身產品中用到了這個組件，其上報的義務就比較高；若不是，那根據(jù)目前法律規(guī)定，只是鼓勵上報，沒有強制，”王新銳總結，“當然，這主要還是基于對公開信息的分析?？紤]到這一漏洞的綜合評級是“高?！?，及時向境內主管機構報告，是《網(wǎng)絡安全法》及其配套規(guī)則的應有之意?！?/p>

業(yè)內普遍認為，此次規(guī)制是監(jiān)管方對國內網(wǎng)絡安全界的一次警示。

“仔細想想，處罰得并不重，沒有徹底把阿里云剔出‘網(wǎng)絡安全威脅信息共享平臺合作單位’，只是暫停6個月；也沒有對個人進行行政處罰或警告?！鼻笆鏊阉饕婀こ處煴硎?，“但這無疑是一次警告，讓所有從業(yè)者心中有規(guī)則，做事不逾矩。”

關鍵詞： 阿里云 漏洞 組件 工信部 log4j2 java 財經 信息 apache 阿帕奇