第一個發現高危漏洞的阿里云,為什么還要被工信部暫停合作?
最近,阿里云安全團隊發現了一個被安全圈公認為注定被載入史冊的漏洞,并及時報告給了開發者,可以說功勞甚大。但奇怪的是,不到一個月的時間,工信部網絡安全管理局隨即對外通報,暫停與阿里云的合作6個月,暫停期滿后,再根據阿里云公司整改情況,研究是否恢復合作。
功勞甚大
11月24日,阿里云在Web服務器軟件阿帕奇(Apache)下的開源日志組件Log4j內,發現重大漏洞Log4Shell。發現漏洞的同時,立即向總部位于美國的阿帕奇軟件基金會報告。
這個漏洞被安全圈公認為注定被載入史冊的高危漏洞,漏洞一經披露,不論是大公司還是小公司,無數程序員徹夜難眠,加班加點修復該漏洞,安全圈的“熱鬧”場面一點不亞于2020年初新冠病毒的爆發。
這個核彈級的漏洞究竟有多厲害?
不管是前端、后端還是客戶端工程師,對打日志都不會陌生。日志可以幫助程序員們了解程序的運行情況,排查運行中出現的問題。
在Java技術棧中,用的比較多的日志輸出框架主要有log4j2和logback。log4j2便是我們今天的主角。
網絡安全領域有一個重要的原則:永遠不要相信用戶輸入的東西。因為很多攻擊皆因“用戶輸入”而起,比如著名的SQL注入攻擊。
然而,log4j2,這個非常流行的日志輸出框架卻犯了這個低級錯誤。
log4j2中有一個叫JNDI的東西,它可以遠程下載class文件來構建對象,一旦遠程下載的URL指向黑客的服務器,下載的class暗藏惡意代碼,會被毫無保留的執行。
也就是說,黑客可以輕而易舉地控制受害目標。
這就好比兩個小學生上課遲到,被門口的保安攔住,讓登個記。剛想進教室被保安攔住,保安對著一個人說:“敢在登記簿上寫周杰倫?你不知道我周杰倫粉絲啊?”然后對著另一個人說:“易烊千璽,你先進去。”
例子不太嚴謹,大體是這么個意思。這個高危漏洞會讓黑客完全控制受害目標,隨意進出、隨意篡改。試想一下,某用戶打開百度搜索首頁,結果跳轉到某一個色情網站的場景,對百度公司來說,絕對是史詩級災難。
能發現如此高危漏洞,阿里云功不可沒。那為什么工信部會暫停與阿里云的合作呢?
難辭其咎
阿里云是工信部網絡安全威脅信息共享平臺合作單位,足以證明其技術實力,但在這件事上,它犯了一個很嚴重的錯誤。
今年7月12日,工信部刊發了《網絡產品安全漏洞管理規定》,已于9月1日起實施。
其中第七條(二)規定:
| 漏洞發現者應當在2日內向工業和信息化部網絡安全威脅和漏洞信息共享平臺報送相關漏洞信息。 |
遺憾的是,由于流程把控不嚴,阿里云并沒有向工信部網絡安全威脅和漏洞信息共享平臺報送相關漏洞信息。
未及時報送送網絡安全威脅和漏洞信息共享平臺,而直接報告給總部位于美國的阿帕奇軟件基金會。直接導致相關部門沒有及時掌握該漏洞的具體情況。
事情經過如下:
- 11月24日,阿里云安全團隊發現重大漏洞,向阿帕奇軟件基金會報告,且沒有按照規定報告給工信部。隨后,奧地利和新西蘭計算機應急小組率先對這一漏洞進行了預警。
- 直至12月9日,工信部才收到有關網絡安全專業機構報告,發現阿帕奇Log4j2組件存在嚴重安全漏洞,立即召集阿里云、網絡安全企業、網絡安全專業機構等開展研判,并向行業單位進行風險預警。
- 12月10日,漏洞經過阿帕奇修復,卻再度被指出仍然存在漏洞,可以被繞過。
- 12月14日,中國國家信息安全漏洞共享平臺發布《Apache Log4j2遠程代碼執行漏洞排查及修復手冊》,供相關單位、企業及個人參考。
網絡安全無小事,尤其是如此嚴重的漏洞,如果被一些有心人利用,極有可能威脅到國家安全。作為企業,我們應該時刻關注相關法律法規,降低經營風險。
