来源 | 零壹财经
作者 | 沈拙言
12月22日,一条“阿里云被暂停其工信部网络安全威胁信息共享平台合作单位身份”的消息突如其来,在网络安全早已成为国家战略的背景下,此事引发诸多热议。
据工信部网络安全局通报,阿里云计算有限公司(以下简称“阿里云”)作为工信部网络安全威胁信息共享平台合作单位,在发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。经研究,现暂停阿里云公司作为上述合作单位6个月。暂停期满后,根据阿里云公司整改情况,研究恢复其上述合作单位。
log4j 2是一款基于 Java 研发的开源日志监控组件,是全球范围内Java全生态的基础组件之一,一旦出现严重安全漏洞隐患,对全球网络安全的危害巨大。阿里云作为该漏洞的发现者,显示了其强大的技术能力,将漏洞情况告知阿帕奇官方,也是网络安全与漏洞管理工作中的巨大贡献。但在网络安全问题升级,国内《网络产品安全漏洞管理规定》已经施行的背景下,却未及时将此上报电信主管部门,以致工信部网络安全威胁和漏洞信息共享平台通过公开渠道,收到有关网络安全专业机构报告后,才得知这一漏洞,故而有此“暂停相关合作单位”的处罚。
23日,阿里云做出情况说明:阿里云早期未意识到该漏洞的严重性,未及时共享漏洞信息。阿里云将强化漏洞管理、提升合规意识、积极协同各方做好网络安全风险防范工作。
log4j 2组件因其通用性、简易型和强功能性,被广泛用于各类JAVA开源系统中,这一组件上的漏洞被称为“核弹级漏洞”,引发全球范围内科技企业的自查与修补。
一句老生常谈的话不得不再次提及:安全无小事,信息时代的网络安全更甚。
“处罚事件”的来龙去脉
先来梳理一下本次安全漏洞时间及解决方案响应的时间线。
2021年11月24日,阿里云安全团队发现阿帕奇log4j 2远程代码执行漏洞,该组件中某些功能存在递归解析,攻击者可直接构造恶意请求,触发远程代码执行漏洞,并向阿帕奇官方报告了这一漏洞。
12月9日,工信部网络安全管理局通告,工信部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告,阿帕奇Log4j2组件存在严重安全漏洞。召集阿里云、网络安全企业、网络安全专业机构等开展研判,通报督促阿帕奇软件基金会及时修补该漏洞,向行业单位进行风险预警。
从漏洞的发现到工信部的获悉,中间有漫长的十五天,作为电信主管部门的工信部才得知这一基于Java生态开源系统中的巨大漏洞。
同日,阿帕奇官方发布Log4j 2.15.0-rc1版本的紧急更新。这意味着,软件厂商经过测试、评估、解决方案的设计等流程,依旧用了十五天时间发布了紧急安全更新。
随后,关于阿帕奇Log4j2组件漏洞的补丁修复问题,引发全球技术领域的热议。
次日,中国国家信息安全漏洞共享平台收录Apache Log4j2远程代码执行漏洞。阿里云在官网公告披露,安全团队发现Apache Log4j 2.15.0-rc1版本存在漏洞绕过,要求用户及时更新版本,并向用户介绍该漏洞的具体背景及相应的修复方案。
12月14日,中国国家信息安全漏洞共享平台发布《Apache Log4j2远程代码执行漏洞排查及修复手册》,供相关单位、企业及个人参考。
12月17日,工信部发布《关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示》。
12月22日,工信部通报暂停阿里云作为工信部网络安全威胁信息共享平台合作单位6个月。
至此,时间线收束,技术问题成功出圈,引发巨大关注。监管层面,阿里云受到处罚,而技术层面的全球风暴仍在肆虐。
阿里云为什么受到“处罚”?
根据9月1日施行的《网络产品安全漏洞管理规定》第五条规定,网络产品提供者、网络运营者和网络产品安全漏洞收集平台应当建立健全网络产品安全漏洞信息接收渠道并保持畅通。
第七条规定,网络产品提供者应当履行下列网络产品安全漏洞管理义务,确保其产品安全漏洞得到及时修补和合理发布,并指导支持产品用户采取防范措施:
(一)发现或者获知所提供网络产品存在安全漏洞后,应当立即采取措施并组织对安全漏洞进行验证,评估安全漏洞的危害程度和影响范围;对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品提供者。
(二)应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。
(三)应当及时组织对网络产品安全漏洞进行修补,对于需要产品用户(含下游厂商)采取软件、固件升级等措施的,应当及时将网络产品安全漏洞风险及修补方式告知可能受影响的产品用户,并提供必要的技术支持。
工业和信息化部网络安全威胁和漏洞信息共享平台同步向国家网络与信息安全信息通报中心、国家计算机网络应急技术处理协调中心通报相关漏洞信息。
《网络产品安全漏洞管理规定》明确了网络产品提供者、网络运营者,以及从事漏洞发现、收集、发布等活动的组织或个人等各类主体的责任和义务,也鼓励各类主体发挥各自技术和机制优势开展漏洞发现、收集、发布等相关工作。
而阿里云在发现Log4j2组件的漏洞后,及时告知了阿帕奇官方,符合了“对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品提供者”的要求,却没有在规定的2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息,以致后者通过公开渠道才得知漏洞信息。
至于处罚为什么是暂停阿里云作为工信部网络安全威胁信息共享平台合作单位6个月?所惩戒的显然是阿里云作为网络安全威胁信息共享平台合作单位的失职。网络安全威胁信息共享平台合作单位,顾名思义,意为实现网络安全威胁的及时共享功能而存在,可保持网络产品安全漏洞信息接收渠道的畅通无阻。而阿里云在此次事件中没有利用起这份共享和沟通机制。
此外,网络安全威胁信息共享平台也是维持相关企业良性发展的重要平衡点。健康生态与畅通交流机制主导下,相关企业理应主动报告、主动共享漏洞信息,杜绝以漏洞获利、漏报乃至刻意隐瞒等恶劣行为的出现。
底层组件漏洞引发全球网络安全地震
事态的失控程度,远超所有人的想象。
据报道,前 Log4j 开发者、现阿帕奇基金会副总裁Christian Grobmeier 表示,当他第一次得知这一消息时非常震惊:“苹果参与其中、Twitter 也会受到影响,然后我才意识到居然有这么多人在使用它:基本上是半个世界,甚至更多,这太疯狂了。”
Java作为取C++精华、弃C++弊端的编程顶级语言,在企业级软件开发领域活跃了26年,其基础组件出现漏洞,无外乎外媒称其为“核弹级”。
据以色列网络安全解决方案提供商 Check Point统计,在 Apache Log4j 2 漏洞发现早期的 12 月 10 日,黑客尝试利用该漏洞进行攻击的次数仅有几千次,但这一数据在隔天却增至 4 万次。而截至 Check Point 发布该报告,即漏洞爆发 72 小时后,仅 CPR 传感器捕捉到利用该漏洞尝试攻击的行为就已超过 83 万次。令人震惊的远不止攻击频率,攻击方式也在发生着变化:基于该漏洞的新变种也在短时间内迅速衍生,截至统计之时,攻击变种已超过60种。
Check Point 认为此次 Apache Log4j 2 漏洞具备“网络流行病”的特征——迅速传播毁灭性攻击。Check Point 表示:“它显然是近年来互联网上最严重的漏洞之一,其潜在危害是无法估量的。
一个漏洞的公布背后,是开发者补丁更新与黑客漏洞攻击的时间赛跑。全球范围内受攻击的单位级别也迎来新高。
据比利时 VRT 新闻报导,比利时国防部承认他们遭受了严重的网络攻击,该攻击基于Apache Log4j 相关漏洞。强烈的网络攻击导致比利时国防部的一些活动瘫痪,如电子邮件系统就已经停机数日。
综合相关报道,各国均对Apache Log4j漏洞采取措施:美国网络安全和基础设施安全局(CISA)命令所有联邦民事机构“必须在圣诞节前修补好与 Log4j 相关的系统”。新加坡网络安全局 (CSA) 也与关键信息基础设施 (CII) 部门针对 Log4j 漏洞举行紧急会议,并发布漏洞的警示公告,密切关注漏洞发展。
视线回到国内,根据Check Point数据,相对其他国家而言,中国受 Apache Log4j 2 漏洞影响相对较小:即便在漏洞爆发高峰期,也只有近 34% 的企业受到波及。但占比少的背后是我国庞大的企业基数,再小占比的安全影响也不可忽视。
据GitHub统计,2020年新增了1600万开发者用户,预计2025年开发者用户数将达到1亿,而中国开发者数量及贡献度增长已成为全球最快,预测到2030年,中国开发者将成为全球最大的开源群体。
而log4j 2这款开源日志监控组件的漏洞,会对全球最大的开源群体研发的软件造成毁灭性打击,除了黑客,没有人希望看到大规模的软件劫持和勒索病毒的出现。
开源意为开放源代码,最大的特点在于开放,开放带来巨大便利的同时也能带来巨大的风险。log4j 2漏洞的出现,给全球软件开发者、使用者敲响警钟,理应充分认识任何漏洞尤其是底层组件漏洞所隐含的巨大安全威胁,引以为戒。
安全漏洞不可能最后一次出现,人在常规情况下也不应该掉到同一个坑里。