來(lái)源 ｜ 零壹財(cái)經(jīng)

作者 ｜ 沈拙言

12月22日，一條“阿里云被暫停其工信部網(wǎng)絡(luò)安全威脅信息共享平臺(tái)合作單位身份”的消息突如其來(lái)，在網(wǎng)絡(luò)安全早已成為國(guó)家戰(zhàn)略的背景下，此事引發(fā)諸多熱議。

據(jù)工信部網(wǎng)絡(luò)安全局通報(bào)，阿里云計(jì)算有限公司（以下簡(jiǎn)稱“阿里云”）作為工信部網(wǎng)絡(luò)安全威脅信息共享平臺(tái)合作單位，在發(fā)現(xiàn)阿帕奇（Apache）Log4j2組件嚴(yán)重安全漏洞隱患后，未及時(shí)向電信主管部門報(bào)告，未有效支撐工信部開(kāi)展網(wǎng)絡(luò)安全威脅和漏洞管理。經(jīng)研究，現(xiàn)暫停阿里云公司作為上述合作單位6個(gè)月。暫停期滿后，根據(jù)阿里云公司整改情況，研究恢復(fù)其上述合作單位。

log4j 2是一款基于 Java 研發(fā)的開(kāi)源日志監(jiān)控組件，是全球范圍內(nèi)Java全生態(tài)的基礎(chǔ)組件之一，一旦出現(xiàn)嚴(yán)重安全漏洞隱患，對(duì)全球網(wǎng)絡(luò)安全的危害巨大。阿里云作為該漏洞的發(fā)現(xiàn)者，顯示了其強(qiáng)大的技術(shù)能力，將漏洞情況告知阿帕奇官方，也是網(wǎng)絡(luò)安全與漏洞管理工作中的巨大貢獻(xiàn)。但在網(wǎng)絡(luò)安全問(wèn)題升級(jí)，國(guó)內(nèi)《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》已經(jīng)施行的背景下，卻未及時(shí)將此上報(bào)電信主管部門，以致工信部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)通過(guò)公開(kāi)渠道，收到有關(guān)網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)報(bào)告后，才得知這一漏洞，故而有此“暫停相關(guān)合作單位”的處罰。

23日，阿里云做出情況說(shuō)明：阿里云早期未意識(shí)到該漏洞的嚴(yán)重性，未及時(shí)共享漏洞信息。阿里云將強(qiáng)化漏洞管理、提升合規(guī)意識(shí)、積極協(xié)同各方做好網(wǎng)絡(luò)安全風(fēng)險(xiǎn)防范工作。

log4j 2組件因其通用性、簡(jiǎn)易型和強(qiáng)功能性，被廣泛用于各類JAVA開(kāi)源系統(tǒng)中，這一組件上的漏洞被稱為“核彈級(jí)漏洞”，引發(fā)全球范圍內(nèi)科技企業(yè)的自查與修補(bǔ)。

一句老生常談的話不得不再次提及：安全無(wú)小事，信息時(shí)代的網(wǎng)絡(luò)安全更甚。

“處罰事件”的來(lái)龍去脈

先來(lái)梳理一下本次安全漏洞時(shí)間及解決方案響應(yīng)的時(shí)間線。

2021年11月24日，阿里云安全團(tuán)隊(duì)發(fā)現(xiàn)阿帕奇log4j 2遠(yuǎn)程代碼執(zhí)行漏洞，該組件中某些功能存在遞歸解析，攻擊者可直接構(gòu)造惡意請(qǐng)求，觸發(fā)遠(yuǎn)程代碼執(zhí)行漏洞，并向阿帕奇官方報(bào)告了這一漏洞。

12月9日，工信部網(wǎng)絡(luò)安全管理局通告，工信部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)收到有關(guān)網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)報(bào)告，阿帕奇Log4j2組件存在嚴(yán)重安全漏洞。召集阿里云、網(wǎng)絡(luò)安全企業(yè)、網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)等開(kāi)展研判，通報(bào)督促阿帕奇軟件基金會(huì)及時(shí)修補(bǔ)該漏洞，向行業(yè)單位進(jìn)行風(fēng)險(xiǎn)預(yù)警。

從漏洞的發(fā)現(xiàn)到工信部的獲悉，中間有漫長(zhǎng)的十五天，作為電信主管部門的工信部才得知這一基于Java生態(tài)開(kāi)源系統(tǒng)中的巨大漏洞。

同日，阿帕奇官方發(fā)布Log4j 2．15．0－rc1版本的緊急更新。這意味著，軟件廠商經(jīng)過(guò)測(cè)試、評(píng)估、解決方案的設(shè)計(jì)等流程，依舊用了十五天時(shí)間發(fā)布了緊急安全更新。

隨后，關(guān)于阿帕奇Log4j2組件漏洞的補(bǔ)丁修復(fù)問(wèn)題，引發(fā)全球技術(shù)領(lǐng)域的熱議。

次日，中國(guó)國(guó)家信息安全漏洞共享平臺(tái)收錄Apache Log4j2遠(yuǎn)程代碼執(zhí)行漏洞。阿里云在官網(wǎng)公告披露，安全團(tuán)隊(duì)發(fā)現(xiàn)Apache Log4j 2．15．0－rc1版本存在漏洞繞過(guò)，要求用戶及時(shí)更新版本，并向用戶介紹該漏洞的具體背景及相應(yīng)的修復(fù)方案。

12月14日，中國(guó)國(guó)家信息安全漏洞共享平臺(tái)發(fā)布《Apache Log4j2遠(yuǎn)程代碼執(zhí)行漏洞排查及修復(fù)手冊(cè)》，供相關(guān)單位、企業(yè)及個(gè)人參考。

12月17日，工信部發(fā)布《關(guān)于阿帕奇Log4j2組件重大安全漏洞的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)提示》。

12月22日，工信部通報(bào)暫停阿里云作為工信部網(wǎng)絡(luò)安全威脅信息共享平臺(tái)合作單位6個(gè)月。

至此，時(shí)間線收束，技術(shù)問(wèn)題成功出圈，引發(fā)巨大關(guān)注。監(jiān)管層面，阿里云受到處罰，而技術(shù)層面的全球風(fēng)暴仍在肆虐。

阿里云為什么受到“處罰”？

根據(jù)9月1日施行的《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》第五條規(guī)定，網(wǎng)絡(luò)產(chǎn)品提供者、網(wǎng)絡(luò)運(yùn)營(yíng)者和網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺(tái)應(yīng)當(dāng)建立健全網(wǎng)絡(luò)產(chǎn)品安全漏洞信息接收渠道并保持暢通。

第七條規(guī)定，網(wǎng)絡(luò)產(chǎn)品提供者應(yīng)當(dāng)履行下列網(wǎng)絡(luò)產(chǎn)品安全漏洞管理義務(wù)，確保其產(chǎn)品安全漏洞得到及時(shí)修補(bǔ)和合理發(fā)布，并指導(dǎo)支持產(chǎn)品用戶采取防范措施：

（一）發(fā)現(xiàn)或者獲知所提供網(wǎng)絡(luò)產(chǎn)品存在安全漏洞后，應(yīng)當(dāng)立即采取措施并組織對(duì)安全漏洞進(jìn)行驗(yàn)證，評(píng)估安全漏洞的危害程度和影響范圍；對(duì)屬于其上游產(chǎn)品或者組件存在的安全漏洞，應(yīng)當(dāng)立即通知相關(guān)產(chǎn)品提供者。

（二）應(yīng)當(dāng)在2日內(nèi)向工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)報(bào)送相關(guān)漏洞信息。報(bào)送內(nèi)容應(yīng)當(dāng)包括存在網(wǎng)絡(luò)產(chǎn)品安全漏洞的產(chǎn)品名稱、型號(hào)、版本以及漏洞的技術(shù)特點(diǎn)、危害和影響范圍等。

（三）應(yīng)當(dāng)及時(shí)組織對(duì)網(wǎng)絡(luò)產(chǎn)品安全漏洞進(jìn)行修補(bǔ)，對(duì)于需要產(chǎn)品用戶（含下游廠商）采取軟件、固件升級(jí)等措施的，應(yīng)當(dāng)及時(shí)將網(wǎng)絡(luò)產(chǎn)品安全漏洞風(fēng)險(xiǎn)及修補(bǔ)方式告知可能受影響的產(chǎn)品用戶，并提供必要的技術(shù)支持。

工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)同步向國(guó)家網(wǎng)絡(luò)與信息安全信息通報(bào)中心、國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心通報(bào)相關(guān)漏洞信息。

《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》明確了網(wǎng)絡(luò)產(chǎn)品提供者、網(wǎng)絡(luò)運(yùn)營(yíng)者，以及從事漏洞發(fā)現(xiàn)、收集、發(fā)布等活動(dòng)的組織或個(gè)人等各類主體的責(zé)任和義務(wù)，也鼓勵(lì)各類主體發(fā)揮各自技術(shù)和機(jī)制優(yōu)勢(shì)開(kāi)展漏洞發(fā)現(xiàn)、收集、發(fā)布等相關(guān)工作。

而阿里云在發(fā)現(xiàn)Log4j2組件的漏洞后，及時(shí)告知了阿帕奇官方，符合了“對(duì)屬于其上游產(chǎn)品或者組件存在的安全漏洞，應(yīng)當(dāng)立即通知相關(guān)產(chǎn)品提供者”的要求，卻沒(méi)有在規(guī)定的2日內(nèi)向工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)報(bào)送相關(guān)漏洞信息，以致后者通過(guò)公開(kāi)渠道才得知漏洞信息。

至于處罰為什么是暫停阿里云作為工信部網(wǎng)絡(luò)安全威脅信息共享平臺(tái)合作單位6個(gè)月？所懲戒的顯然是阿里云作為網(wǎng)絡(luò)安全威脅信息共享平臺(tái)合作單位的失職。網(wǎng)絡(luò)安全威脅信息共享平臺(tái)合作單位，顧名思義，意為實(shí)現(xiàn)網(wǎng)絡(luò)安全威脅的及時(shí)共享功能而存在，可保持網(wǎng)絡(luò)產(chǎn)品安全漏洞信息接收渠道的暢通無(wú)阻。而阿里云在此次事件中沒(méi)有利用起這份共享和溝通機(jī)制。

此外，網(wǎng)絡(luò)安全威脅信息共享平臺(tái)也是維持相關(guān)企業(yè)良性發(fā)展的重要平衡點(diǎn)。健康生態(tài)與暢通交流機(jī)制主導(dǎo)下，相關(guān)企業(yè)理應(yīng)主動(dòng)報(bào)告、主動(dòng)共享漏洞信息，杜絕以漏洞獲利、漏報(bào)乃至刻意隱瞞等惡劣行為的出現(xiàn)。

底層組件漏洞引發(fā)全球網(wǎng)絡(luò)安全地震

事態(tài)的失控程度，遠(yuǎn)超所有人的想象。

據(jù)報(bào)道，前 Log4j 開(kāi)發(fā)者、現(xiàn)阿帕奇基金會(huì)副總裁Christian Grobmeier 表示，當(dāng)他第一次得知這一消息時(shí)非常震驚：“蘋果參與其中、Twitter 也會(huì)受到影響，然后我才意識(shí)到居然有這么多人在使用它：基本上是半個(gè)世界，甚至更多，這太瘋狂了�！�

Java作為取C＋＋精華、棄C＋＋弊端的編程頂級(jí)語(yǔ)言，在企業(yè)級(jí)軟件開(kāi)發(fā)領(lǐng)域活躍了26年，其基礎(chǔ)組件出現(xiàn)漏洞，無(wú)外乎外媒稱其為“核彈級(jí)”。

據(jù)以色列網(wǎng)絡(luò)安全解決方案提供商 Check Point統(tǒng)計(jì)，在 Apache Log4j 2 漏洞發(fā)現(xiàn)早期的 12 月 10 日，黑客嘗試?yán)�用該漏洞進(jìn)行攻擊的次數(shù)僅有幾千次，但這一數(shù)據(jù)在隔天卻增至 4 萬(wàn)次。而截至 Check Point 發(fā)布該報(bào)告，即漏洞爆發(fā) 72 小時(shí)后，僅 CPR 傳感器捕捉到利用該漏洞嘗試攻擊的行為就已超過(guò) 83 萬(wàn)次。令人震驚的遠(yuǎn)不止攻擊頻率，攻擊方式也在發(fā)生著變化：基于該漏洞的新變種也在短時(shí)間內(nèi)迅速衍生，截至統(tǒng)計(jì)之時(shí)，攻擊變種已超過(guò)60種。

Check Point 認(rèn)為此次 Apache Log4j 2 漏洞具備“網(wǎng)絡(luò)流行病”的特征——迅速傳播毀滅性攻擊。Check Point 表示：“它顯然是近年來(lái)互聯(lián)網(wǎng)上最嚴(yán)重的漏洞之一，其潛在危害是無(wú)法估量的。

一個(gè)漏洞的公布背后，是開(kāi)發(fā)者補(bǔ)丁更新與黑客漏洞攻擊的時(shí)間賽跑。全球范圍內(nèi)受攻擊的單位級(jí)別也迎來(lái)新高。

據(jù)比利時(shí) VRT 新聞報(bào)導(dǎo)，比利時(shí)國(guó)防部承認(rèn)他們?cè)馐芰藝?yán)重的網(wǎng)絡(luò)攻擊，該攻擊基于Apache Log4j 相關(guān)漏洞。強(qiáng)烈的網(wǎng)絡(luò)攻擊導(dǎo)致比利時(shí)國(guó)防部的一些活動(dòng)癱瘓，如電子郵件系統(tǒng)就已經(jīng)停機(jī)數(shù)日。

綜合相關(guān)報(bào)道，各國(guó)均對(duì)Apache Log4j漏洞采取措施：美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）命令所有聯(lián)邦民事機(jī)構(gòu)“必須在圣誕節(jié)前修補(bǔ)好與 Log4j 相關(guān)的系統(tǒng)”。新加坡網(wǎng)絡(luò)安全局 （CSA） 也與關(guān)鍵信息基礎(chǔ)設(shè)施 （CII） 部門針對(duì) Log4j 漏洞舉行緊急會(huì)議，并發(fā)布漏洞的警示公告，密切關(guān)注漏洞發(fā)展。

視線回到國(guó)內(nèi)，根據(jù)Check Point數(shù)據(jù)，相對(duì)其他國(guó)家而言，中國(guó)受 Apache Log4j 2 漏洞影響相對(duì)較小：即便在漏洞爆發(fā)高峰期，也只有近 34％ 的企業(yè)受到波及。但占比少的背后是我國(guó)龐大的企業(yè)基數(shù)，再小占比的安全影響也不可忽視。

據(jù)GitHub統(tǒng)計(jì)，2020年新增了1600萬(wàn)開(kāi)發(fā)者用戶，預(yù)計(jì)2025年開(kāi)發(fā)者用戶數(shù)將達(dá)到1億，而中國(guó)開(kāi)發(fā)者數(shù)量及貢獻(xiàn)度增長(zhǎng)已成為全球最快，預(yù)測(cè)到2030年，中國(guó)開(kāi)發(fā)者將成為全球最大的開(kāi)源群體。

而log4j 2這款開(kāi)源日志監(jiān)控組件的漏洞，會(huì)對(duì)全球最大的開(kāi)源群體研發(fā)的軟件造成毀滅性打擊，除了黑客，沒(méi)有人希望看到大規(guī)模的軟件劫持和勒索病毒的出現(xiàn)。

開(kāi)源意為開(kāi)放源代碼，最大的特點(diǎn)在于開(kāi)放，開(kāi)放帶來(lái)巨大便利的同時(shí)也能帶來(lái)巨大的風(fēng)險(xiǎn)。log4j 2漏洞的出現(xiàn)，給全球軟件開(kāi)發(fā)者、使用者敲響警鐘，理應(yīng)充分認(rèn)識(shí)任何漏洞尤其是底層組件漏洞所隱含的巨大安全威脅，引以為戒。

安全漏洞不可能最后一次出現(xiàn)，人在常規(guī)情況下也不應(yīng)該掉到同一個(gè)坑里。