作者:李东耳
12月22日,据21世纪经济报道,工业和信息化部网络安全管理局通报称,阿里云计算有限公司(下称“阿里云”)作为工信部网络安全威胁信息共享平台合作单位,在发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。经研究,现暂停阿里云作为上述合作单位6个月。
发现漏洞未及时通报
据了解,Apache Log4j是Apache的一个开源项目,通过使用Log4j,可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程。Loj4j2是对Log4j的升级。
由于Apache Log4j2某些功能存在递归解析功能,未经身份验证的攻击者通过发送特别构造的数据请求包,可在目标服务器上执行任意代码。漏洞PoC已在网上公开,默认配置即可进行利用,该漏洞影响范围极广。
该漏洞的危害之大主要有两方面,一是全球的Java框架几乎都有使用Log4j2,二是该漏洞的利用条件极低几乎没有技术门槛,这导致全球范围内政企个人均存因该漏洞受到攻击的可能。
事实上,阿里云早在1个月前就已经发现了该漏洞,根据阿里云12月13日发布的公告,11月24日,阿里云就已经发现了并向Apache官方报告了Apache Log4j2该漏洞。
2021年12月10日,阿里云安全团队发现Apache Log4j 2.15.0-rc1版本存在漏洞绕过。阿里云应急响应中心提醒Apache Log4j2用户尽快采取安全措施阻止漏洞攻击。
来源:阿里云官网
12月9日,阿里云安全团队发布 Apache Log4j2 远程代码执行漏洞安全通告,12月10日,阿里云安全团队建议更新修复版本为 Apache Log4j 2.15.0 及其以上,12月15日,阿里云安全团队更新安全建议,更新建议修复版本为Apache Log4j 2.16.0以及Apache Log4j 2.12.2安全版本。
通过阿里云公告中的时间线来看,阿里云在发现了此漏洞后作出了及时的反应,然而,直到12月9日,中国工信部才收到有关网络安全专业机构关于Apache Log4j2组件存在严重安全漏洞的报告,并召集阿里云、网络安全企业、网络安全专业机构等开展研判,向行业单位进行风险预警。
根据工信部网络安全威胁信息共享平台相关规定,合作单位在发现网络安全相关漏洞等问题后,需在2天内报告,阿里云在第一时间向阿帕奇反馈的同时,并没有及时向有关单位报告,这才导致了被暂停合作6个月。
接入涉诈网站数量居高不下被工信部约谈
如今,上云是各级政企单位数智化转型的重要措施之一,与之伴随的是大量数据上云,在便利了人们工作生活的同时,网络安全形势也变得前所未有得严峻。
特别是在越来越多的中小企业上云的当下,中小企业的网络安全越来越依赖于云服务商,无论是在IaaS层、PaaS层、还是在SaaS层,云计算服务商一旦因为安全问题受到攻击,无论事后作出怎样的补偿,最终受到损失的还是没有相关能力的中小企业。
更何况,除政企单位外,网络安全还关系到每个人的财产安全。就在阿里云发现Log4j2组件漏洞的当天,11月24日,工信部还曾发布阿里云因网络安全问题被约谈的公告。
据工信部官网,工业和信息化部网络安全管理局、公安部刑事侦查局联合约谈阿里云、百度云两家企业相关负责人,通报了近期两家企业在防范治理电信网络诈骗工作中存在的接入涉诈网站数量居高不下等问题,要求两家企业切实履行网络与信息安全主体责任,严格落实《网络安全法》等法律法规要求,对相关问题限期予以整改。
来源:工信部官网
阿里云作为全球市场份额第三,亚太及中国地区市场份额第一的公有云服务商,更需要承担起提高网络安全能力的责任。
(本文仅供参考,不构成投资建议,据此操作风险自担)