阿里云未及時(shí)通報(bào)重大網(wǎng)絡(luò)安全漏洞，會帶來什么后果？

【文/觀察者網(wǎng) 呂棟】

12月22日，阿里云被工信部暫停網(wǎng)絡(luò)安全威脅信息共享平臺合作單位6個(gè)月的消息引發(fā)輿論廣泛關(guān)注。

這事緣起于一個(gè)月前。當(dāng)時(shí)，阿里云發(fā)現(xiàn)阿帕奇（Apache）Log4j2組件嚴(yán)重安全漏洞后，隨即向位于美國的阿帕奇軟件基金會通報(bào)，但并沒有按照規(guī)定向中國工信部通報(bào)。事發(fā)半個(gè)月后，中國工信部收到網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)的報(bào)告，才發(fā)現(xiàn)阿帕奇組件存在嚴(yán)重安全漏洞。

阿帕奇組件存在的到底是什么漏洞？阿里云沒有及時(shí)通報(bào)會造成什么后果？國內(nèi)企業(yè)在發(fā)現(xiàn)網(wǎng)絡(luò)安全漏洞后應(yīng)該走什么程序通報(bào)？觀察者網(wǎng)帶著這些問題采訪了一些業(yè)內(nèi)人士。

漏洞銀行聯(lián)合創(chuàng)始人、CTO張雪松向觀察者網(wǎng)指出，Log4j2組件應(yīng)用極其廣泛，漏洞危害可以迅速傳播到各個(gè)領(lǐng)域。由于阿里云未及時(shí)向中國主管部門報(bào)告相關(guān)漏洞，直接造成相關(guān)機(jī)構(gòu)處于被動地位。

關(guān)于Log4j組件在計(jì)算機(jī)網(wǎng)絡(luò)領(lǐng)域的關(guān)鍵作用，有國外網(wǎng)友用漫畫形式做了形象說明。可以看出，如果沒有Log4j組件的支撐，所有現(xiàn)代數(shù)字基礎(chǔ)設(shè)施都面臨倒塌的危險(xiǎn)。

國外社交媒體用戶以表情包的形式，說明Log4j的重要性

觀察者網(wǎng)梳理此次阿帕奇嚴(yán)重安全漏洞的時(shí)間線如下：

11月24日，阿里云在Web服務(wù)器軟件阿帕奇（Apache）下的開源日志組件Log4j內(nèi)，發(fā)現(xiàn)重大漏洞Log4Shell，然后向總部位于美國的阿帕奇軟件基金會報(bào)告。

獲得消息后，奧地利和新西蘭官方計(jì)算機(jī)應(yīng)急小組立即對這一漏洞進(jìn)行預(yù)警。新西蘭方面聲稱，該漏洞正在被“積極利用”，并且概念驗(yàn)證代碼也已被發(fā)布。

12月9日，中國工信部收到有關(guān)網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)報(bào)告，發(fā)現(xiàn)阿帕奇Log4j2組件存在嚴(yán)重安全漏洞，立即召集阿里云、網(wǎng)絡(luò)安全企業(yè)、網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)等開展研判，并向行業(yè)單位進(jìn)行風(fēng)險(xiǎn)預(yù)警。

12月10日，中國國家信息安全漏洞共享平臺收錄Apache Log4j2遠(yuǎn)程代碼執(zhí)行漏洞；漏洞利用細(xì)節(jié)公開，阿帕奇官方發(fā)布補(bǔ)丁修復(fù)該漏洞。

12月10日，阿里云在官網(wǎng)公告披露，安全團(tuán)隊(duì)發(fā)現(xiàn)Apache Log4j 2.15.0-rc1版本存在漏洞繞過，要求用戶及時(shí)更新版本，并向用戶介紹該漏洞的具體背景及相應(yīng)的修復(fù)方案。

12月14日，中國國家信息安全漏洞共享平臺發(fā)布《Apache Log4j2遠(yuǎn)程代碼執(zhí)行漏洞排查及修復(fù)手冊》，供相關(guān)單位、企業(yè)及個(gè)人參考。

12月22日，工信部通報(bào)，由于阿里云發(fā)現(xiàn)阿帕奇嚴(yán)重安全漏洞隱患后，未及時(shí)向電信主管部門報(bào)告，未有效支撐工信部開展網(wǎng)絡(luò)安全威脅和漏洞管理，決定暫停該公司作為工信部網(wǎng)絡(luò)安全威脅信息共享平臺合作單位6個(gè)月。

根據(jù)公開資料，此次被阿里云安全團(tuán)隊(duì)發(fā)現(xiàn)漏洞的Apache Log4j2是一款開源的Java日志記錄工具，控制Java類系統(tǒng)日志信息生成、打印輸出、格式配置等，大量的業(yè)務(wù)框架都使用了該組件，因此被廣泛應(yīng)用于各種應(yīng)用程序和網(wǎng)絡(luò)服務(wù)。

有資深業(yè)內(nèi)人士告訴觀察者網(wǎng)，Log4j2組件出現(xiàn)安全漏洞主要有兩方面影響：一是Log4j2本身在java類系統(tǒng)中應(yīng)用極其廣泛，全球Java框架幾乎都有使用。二是漏洞細(xì)節(jié)被公開，由于利用條件極低幾乎沒有技術(shù)門檻。因適用范圍廣和漏洞利用難度低，所以影響立即擴(kuò)散并迅速傳播到各個(gè)行業(yè)領(lǐng)域。

簡單來說，這一漏洞可以讓網(wǎng)絡(luò)攻擊者無需密碼就能訪問網(wǎng)絡(luò)服務(wù)器。

這并非危言聳聽。美聯(lián)社等外媒在獲取消息后評論稱，這一漏洞可能是近年來發(fā)現(xiàn)的最嚴(yán)重的計(jì)算機(jī)漏洞。Log4j2在全行業(yè)和政府使用的云服務(wù)器和企業(yè)軟件中“無處不在”，甚至犯罪分子、間諜乃至編程新手，都可以輕易使用這一漏洞進(jìn)入內(nèi)部網(wǎng)絡(luò)，竊取信息、植入惡意軟件和刪除關(guān)鍵信息等。

阿里云官網(wǎng)截圖

然而，阿里云在發(fā)現(xiàn)這個(gè)“過去十年內(nèi)最大也是最關(guān)鍵的單一漏洞”后，并沒有按照《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》第七條要求，在2天內(nèi)向工信部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺報(bào)送信息，而只是向阿帕奇軟件基金會通報(bào)了相關(guān)信息。

觀察者網(wǎng)查詢公開資料發(fā)現(xiàn)，阿帕奇軟件基金會（Apache）于1999年成立于美國，是專門為支持開源軟件項(xiàng)目而辦的一個(gè)非營利性組織。在它所支持的Apache項(xiàng)目與子項(xiàng)目中，所發(fā)行的軟件產(chǎn)品都遵循Apache許可證（Apache License）。

12月10日，在阿里云向阿帕奇軟件基金會通報(bào)漏洞過去半個(gè)多月后，中國國家信息安全漏洞共享平臺才獲得相關(guān)信息，并發(fā)布《關(guān)于Apache Log4j2存在遠(yuǎn)程代碼執(zhí)行漏洞的安全公告》，稱阿帕奇官方已發(fā)布補(bǔ)丁修復(fù)該漏洞，并建議受影響用戶立即更新至最新版本，同時(shí)采取防范性措施避免漏洞攻擊威脅。

中國國家信息安全漏洞共享平臺官網(wǎng)截圖

事實(shí)上，國內(nèi)網(wǎng)絡(luò)漏洞報(bào)送存在清晰流程。業(yè)內(nèi)人士向觀察者網(wǎng)介紹，業(yè)界通用的漏洞報(bào)送流程是，成員單位>工業(yè)和信息化部網(wǎng)絡(luò)安全管理局>國家信息安全漏洞共享平臺（CNVD）＞CVE 中國信息安全測評中心>國家信息安全漏洞庫（CNNVD）>國際非盈利組織CVE；非成員單位或個(gè)人注冊提交CNVD或CNNVD。

根據(jù)公開資料，CVE（通用漏洞共享披露）是國際非盈利組織，全球通用漏洞共享披露協(xié)調(diào)企業(yè)修復(fù)解決安全問題，由于最早由美國發(fā)起該漏洞技術(shù)委員會，所以組織管理機(jī)構(gòu)主要在美國。而CNVD是中國的信息安全漏洞信息共享平臺，由國內(nèi)重要信息系統(tǒng)單位、基礎(chǔ)電信運(yùn)營商、網(wǎng)絡(luò)安全廠商、軟件廠商和互聯(lián)網(wǎng)企業(yè)建立的信息安全漏洞信息共享知識庫。

上述業(yè)內(nèi)人士認(rèn)為，阿里這次因?yàn)槁┒从绊戄^大，所以被當(dāng)做典型通報(bào)。在CNVD建立之前以及最近幾年，國內(nèi)安全人員對CVE的共識、認(rèn)可度和普及程度更高，發(fā)現(xiàn)漏洞安全研究人員慣性會提交CVE，雖然最近兩年國家建立了CNVD，但普及程度不夠，估計(jì)阿里安全研究員提交漏洞的時(shí)候，認(rèn)為是個(gè)人技術(shù)成果的事情，上報(bào)國際組織協(xié)調(diào)修復(fù)即可。

但根據(jù)最新發(fā)布的《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》，國內(nèi)安全研究人員發(fā)現(xiàn)漏洞之后報(bào)送CNVD即可，CNVD會發(fā)起向CVE報(bào)送流程，協(xié)調(diào)廠商和企業(yè)修復(fù)安全漏洞，不允許直接向國外漏洞平臺提交。

由于阿里云這次的行為未有效支撐工信部開展網(wǎng)絡(luò)安全威脅和漏洞管理，根據(jù)工信部最新通報(bào)，工信部網(wǎng)絡(luò)安全管理局研究后，決定暫停阿里云作為上述合作單位6個(gè)月。暫停期滿后，根據(jù)阿里云整改情況，研究恢復(fù)其上述合作單位。

業(yè)內(nèi)人士向觀察者網(wǎng)指出，工信部這次針對是阿里，其實(shí)也是向國內(nèi)網(wǎng)絡(luò)安全行業(yè)從業(yè)人員發(fā)出警示。從結(jié)果來看對阿里的處罰算輕的，一是沒有踢出成員單位，只是暫停6個(gè)月。二是工信部沒有對這次事件的安全研究人員進(jìn)行個(gè)人行政處罰或警告，只是對直接向國外CVE報(bào)送的Log4j漏洞的那個(gè)安全專家點(diǎn)名批評。

本文系觀察者網(wǎng)獨(dú)家稿件，未經(jīng)授權(quán)，不得轉(zhuǎn)載。