作者：李東耳

12月22日，據(jù)21世紀(jì)經(jīng)濟(jì)報(bào)道，工業(yè)和信息化部網(wǎng)絡(luò)安全管理局通報(bào)稱，阿里云計(jì)算有限公司（下稱“阿里云”）作為工信部網(wǎng)絡(luò)安全威脅信息共享平臺(tái)合作單位，在發(fā)現(xiàn)阿帕奇（Apache）Log4j2組件嚴(yán)重安全漏洞隱患后，未及時(shí)向電信主管部門報(bào)告，未有效支撐工信部開展網(wǎng)絡(luò)安全威脅和漏洞管理。經(jīng)研究，現(xiàn)暫停阿里云作為上述合作單位6個(gè)月。

發(fā)現(xiàn)漏洞未及時(shí)通報(bào)

據(jù)了解，Apache Log4j是Apache的一個(gè)開源項(xiàng)目，通過使用Log4j，可以控制日志信息輸送的目的地是控制臺(tái)、文件、GUI組件，甚至是套接口服務(wù)器、NT的事件記錄器、UNIX Syslog守護(hù)進(jìn)程。Loj4j2是對(duì)Log4j的升級(jí)。

由于Apache Log4j2某些功能存在遞歸解析功能，未經(jīng)身份驗(yàn)證的攻擊者通過發(fā)送特別構(gòu)造的數(shù)據(jù)請(qǐng)求包，可在目標(biāo)服務(wù)器上執(zhí)行任意代碼。漏洞PoC已在網(wǎng)上公開，默認(rèn)配置即可進(jìn)行利用，該漏洞影響范圍極廣。

該漏洞的危害之大主要有兩方面，一是全球的Java框架幾乎都有使用Log4j2，二是該漏洞的利用條件極低幾乎沒有技術(shù)門檻，這導(dǎo)致全球范圍內(nèi)政企個(gè)人均存因該漏洞受到攻擊的可能。

事實(shí)上，阿里云早在1個(gè)月前就已經(jīng)發(fā)現(xiàn)了該漏洞，根據(jù)阿里云12月13日發(fā)布的公告，11月24日，阿里云就已經(jīng)發(fā)現(xiàn)了并向Apache官方報(bào)告了Apache Log4j2該漏洞。

2021年12月10日，阿里云安全團(tuán)隊(duì)發(fā)現(xiàn)Apache Log4j 2.15.0-rc1版本存在漏洞繞過。阿里云應(yīng)急響應(yīng)中心提醒Apache Log4j2用戶盡快采取安全措施阻止漏洞攻擊。

來源：阿里云官網(wǎng)

12月9日，阿里云安全團(tuán)隊(duì)發(fā)布 Apache Log4j2 遠(yuǎn)程代碼執(zhí)行漏洞安全通告，12月10日，阿里云安全團(tuán)隊(duì)建議更新修復(fù)版本為 Apache Log4j 2.15.0 及其以上，12月15日，阿里云安全團(tuán)隊(duì)更新安全建議，更新建議修復(fù)版本為Apache Log4j 2.16.0以及Apache Log4j 2.12.2安全版本。

通過阿里云公告中的時(shí)間線來看，阿里云在發(fā)現(xiàn)了此漏洞后作出了及時(shí)的反應(yīng)，然而，直到12月9日，中國(guó)工信部才收到有關(guān)網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)關(guān)于Apache Log4j2組件存在嚴(yán)重安全漏洞的報(bào)告，并召集阿里云、網(wǎng)絡(luò)安全企業(yè)、網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)等開展研判，向行業(yè)單位進(jìn)行風(fēng)險(xiǎn)預(yù)警。

根據(jù)工信部網(wǎng)絡(luò)安全威脅信息共享平臺(tái)相關(guān)規(guī)定，合作單位在發(fā)現(xiàn)網(wǎng)絡(luò)安全相關(guān)漏洞等問題后，需在2天內(nèi)報(bào)告，阿里云在第一時(shí)間向阿帕奇反饋的同時(shí)，并沒有及時(shí)向有關(guān)單位報(bào)告，這才導(dǎo)致了被暫停合作6個(gè)月。

接入涉詐網(wǎng)站數(shù)量居高不下被工信部約談

如今，上云是各級(jí)政企單位數(shù)智化轉(zhuǎn)型的重要措施之一，與之伴隨的是大量數(shù)據(jù)上云，在便利了人們工作生活的同時(shí)，網(wǎng)絡(luò)安全形勢(shì)也變得前所未有得嚴(yán)峻。

特別是在越來越多的中小企業(yè)上云的當(dāng)下，中小企業(yè)的網(wǎng)絡(luò)安全越來越依賴于云服務(wù)商，無論是在IaaS層、PaaS層、還是在SaaS層，云計(jì)算服務(wù)商一旦因?yàn)榘踩珕栴}受到攻擊，無論事后作出怎樣的補(bǔ)償，最終受到損失的還是沒有相關(guān)能力的中小企業(yè)。

更何況，除政企單位外，網(wǎng)絡(luò)安全還關(guān)系到每個(gè)人的財(cái)產(chǎn)安全。就在阿里云發(fā)現(xiàn)Log4j2組件漏洞的當(dāng)天，11月24日，工信部還曾發(fā)布阿里云因網(wǎng)絡(luò)安全問題被約談的公告。

據(jù)工信部官網(wǎng)，工業(yè)和信息化部網(wǎng)絡(luò)安全管理局、公安部刑事偵查局聯(lián)合約談阿里云、百度云兩家企業(yè)相關(guān)負(fù)責(zé)人，通報(bào)了近期兩家企業(yè)在防范治理電信網(wǎng)絡(luò)詐騙工作中存在的接入涉詐網(wǎng)站數(shù)量居高不下等問題，要求兩家企業(yè)切實(shí)履行網(wǎng)絡(luò)與信息安全主體責(zé)任，嚴(yán)格落實(shí)《網(wǎng)絡(luò)安全法》等法律法規(guī)要求，對(duì)相關(guān)問題限期予以整改。

來源：工信部官網(wǎng)

阿里云作為全球市場(chǎng)份額第三，亞太及中國(guó)地區(qū)市場(chǎng)份額第一的公有云服務(wù)商，更需要承擔(dān)起提高網(wǎng)絡(luò)安全能力的責(zé)任。

（本文僅供參考，不構(gòu)成投資建議，據(jù)此操作風(fēng)險(xiǎn)自擔(dān)）