11月24日,阿里云在Web服务器软件阿帕奇(Apache)下的开源日志组件Log4j内,发现重大漏洞Log4Shell,然后向总部位于美国的阿帕奇软件基金会报告。
获得消息后,奥地利和新西兰官方计算机应急小组立即对这一漏洞进行预警。新西兰方面声称,该漏洞正在被“积极利用”,并且概念验证代码也已被发布。
ApacheLog4j2是阿帕奇软件基金会旗下的一款日志记录工具,是基于Java语言的开源日志框架,被广泛用于业务系统开发。阿帕奇软件基金会是专门为支持开源软件项目而办的一个非盈利性组织,总部位于美国马里兰州。
工信部通报!阿里云被暂停合作6个月
12月9日,工信部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告,阿帕奇Log4j2组件存在严重安全漏洞。工信部立即组织有关网络安全专业机构开展漏洞风险分析,召集阿里云、网络安全企业、网络安全专业机构等开展研判,通报督促阿帕奇软件基金会及时修补该漏洞,向行业单位进行风险预警。
12月10日,阿里云在官网公告披露,安全团队发现ApacheLog4j2.15.0-rc1版本存在漏洞绕过,要求用户及时更新版本,并向用户介绍该漏洞的具体背景及相应的修复方案。
12月22日,工信部通报,由于阿里云发现阿帕奇严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。经研究,现暂停阿里云公司作为上述合作单位6个月。暂停期满后,根据阿里云公司整改情况,研究恢复其上述合作单位。
12月23日,阿里云发布《关于开源社区ApacheLog4j2漏洞情况的说明》。阿里云官方回应称,因在早期未意识到该漏洞的严重性,未及时共享漏洞信息。阿里云将强化漏洞管理、提升合规意识,积极协同各方做好网络安全风险防范工作。
“计算机史上最大漏洞”引发安全危机
2001年,软件开发者CekiGulcu设计出一套基于Java语言的日志库Log4j,并于不久后加入专门运作开源软件项目的非盈利组织Apache。在此后的软件迭代升级中,Apache在Log4j的基础上推出了新开源项目Log4j2,在保留原本特性的同时加入了控制日志信息输出目的地、输出格式、定义信息级别等功能,并很快因为其简易便捷、功能强大的特征,作为基本集成模块广泛应用于各类使用Java开源系统中。
有资深业内人士表示,Log4j2组件出现安全漏洞主要有两方面影响:一是Log4j2本身在java类系统中应用极其广泛,全球Java框架几乎都有使用。二是漏洞细节被公开,由于利用条件极低几乎没有技术门槛。因适用范围广和漏洞利用难度低,所以影响立即扩散并迅速传播到各个行业领域。
Log4j2在全行业和政府使用的云服务器和企业软件中“无处不在”,甚至犯罪分子、间谍乃至编程新手,都可以轻易使用这一漏洞进入内部网络,窃取信息、植入恶意软件和删除关键信息等。
这个漏洞在全球网络安全界掀起了一场大震荡。美国国家安全局、德国电信CERT、中国国家互联网应急中心(CERT/CC)等多国安全机构,相继发出警告。包括苹果、亚马逊、特斯拉、谷歌、百度、腾讯、网易、京东、Twitter、Steam等平台在内的服务器都证实了有被攻击的风险。
有关报道显示,黑客在72小时内利用Log4j2漏洞,向全球发起了超过84万次的攻击。利用这个漏洞,黑客们几乎可以获得无限的权利。有网友做了一个形象的比喻:“相当于获得了你家的钥匙,进去想干嘛就干嘛。”
阿里云冤不冤?
在此之前,我国对网络漏洞的处理方式和流程已做出具体要求。《网络安全法》第二十五条规定:“网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。”
“国家对网络漏洞管理进行强监管的背景是,关于网络安全的黑白之争越来越激烈。”在一位安全界人士看来,阿里云此次被罚并不冤,作为中国最大的云服务商,合规意识如此薄弱,的确不应该。
工信部要求开展数据安全风险信息报送
12月22日,据工信部官网消息,为加强工业和信息化领域数据安全风险信息获取、分析、研判和预警工作,及时掌握工业和信息化领域数据安全整体态势,提高数据安全风险处置能力,工业和信息化部近日研究起草《工业和信息化领域数据安全风险信息报送与共享工作指引(试行)》(以下简称《工作指引》),并面向社会公开征求意见。
同时,工信部(网安局)鼓励部系统各单位、安全企业、数据处理者、科研院所、行业组织等单位开展风险信息报送,遴选支撑服务能力强、技术水平高、报送信息质量优的单位建立风险直报单位名录,并实施名录动态管理。地方工业和信息化主管部门、地方通信管理局应当组织开展本地区风险报送单位遴选、推荐等工作,建立本地区风险报送单位名录,并加强名录管理。