作者 | 李扬霞
编辑 | 林觉民
12月22日上午,一则阿里云被暂停其工信部网络安全威胁信息共享平台合作单位身份,为期6个月的消息,在网上疯传。
据工业和信息化部网络安全管理局通报称,阿里云因在发现阿帕奇Log4j2组件重大安全漏洞后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。被暂停其工信部网络安全威胁信息共享平台合作单位身份,为期6个月。
网络安全管理局表示,暂停期满后,根据阿里云公司整改情况,研究恢复其上述合作单位。
自12月9日夜间Log4j 2漏洞发现以来,受到业内外的极大关注,一位网友表示,“以前不关注网络安全领域都对这一漏洞有所了解。”
一位安全专家表示:“从Log4j2漏洞披露以来,基本上震动全民,不管是安全从业者,还是安全爱好者抑或是做黑产、做勒索的黑客,基本上彻夜不眠,行动不断。"
众所周知,Apache Log4j是被全球广泛应用的组件,其漏洞影响范围波及全球堪比“永恒之蓝”漏洞,利用复杂度低,一旦利用成功,可能导致设备远程受控,进而引发敏感信息窃取、设备服务中断等严重危害,造成的危害和损失不可预估。
据相关媒体报道称,比利时国防部网络最近受到不明攻击者的成功攻击,攻击者利用Apache日志库log4j的巨大漏洞实施攻击。
不仅是政府,还有企业也是攻击的对象,只要使用JAVA开发的基本上都会受到影响。同时个人用户受到攻击的案例也已经出现。《我的世界》JAVA版游戏前几天被监测出大量黑客利用Apache Log4j 2漏洞攻击个人用户。
Log4j 2影响的后果逐渐显现。
1.阿里云被“以身试法”了吗?
一位业内人士表示:“按照业内漏洞披露的周期,整个流程应该是,先报给厂商,厂商根据漏洞影响度,在相应的时间提供一个解决方案,然后10天、 45 天或者 90 天,然后厂家提供了解决方案以后,才会出一个漏洞通告。”
这次Log4j 2漏洞的特殊就在于它本身是一个开源的软件。没有给修复时间就被疯狂转发,因为开源软件修复代码是公开的,而修复代码里面一部分就是测试代码,而测试代码就是用来检查修复是否正确,整个过程相当于是公开的,基本上就等于公开了漏洞原理和攻击方式。
自阿里云12月9日将漏洞报告给Apache,Log4j 2漏洞也开始逐渐发酵。
而自2021年9月1日正式施行的《网络产品安全漏洞管理规定》:不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息。认为有必要提前发布的,应当与相关网络产品提供者共同评估协商,并向工业和信息化部、公安部报告,由工业和信息化部、公安部组织评估后进行发布。
同时该规定明确相关企业要接受至少4家的管理检查,分别是 国家互联网信息办公室、工业和信息化部、公安部和有关行业主管部门;同时企业应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。
《网络产品安全漏洞管理规定》第三条规定 国家互联网信息办公室负责统筹协调网络产品安全漏洞管理工作。工业和信息化部负责网络产品安全漏洞综合管理,承担电信和互联网行业网络产品安全漏洞监督管理。公安部负责网络产品安全漏洞监督管理,依法打击利用网络产品安全漏洞实施的违法犯罪活动。有关主管部门加强跨部门协同配合,实现网络产品安全漏洞信息实时共享,对重大网络产品安全漏洞风险开展联合评估和处置。
据了解,12月9日,工业和信息化部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告,阿帕奇Log4j2组件存在严重安全漏洞。工信部立即组织有关网络安全专业机构开展漏洞风险分析,召集阿里云、网络安全企业、网络安全专业机构等开展研判,通报督促阿帕奇软件基金会及时修补该漏洞,向行业单位进行风险预警。
推荐阅读
- 阿里巴巴|马云“接班人”是啥来头第一天上任,阿里巴巴损失517亿!
- 工地|“小马云”已不火,如今“工地马云”火了,网友:确定不是本人?
- 网易养不起“考拉”,阿里拼多多急剁手,网友丁磊全职养猪
- 阿里巴巴|曾是阿里高管,遭马云“忽视”创办410亿公司,却进腾讯口袋
- 阿里|胡润公布全球公司排名,马云创始人头衔也被剥夺?
- 电商|马云曾用224亿收购的大润发,4年多过去了,大润发如今发展如何?
- 阿里巴巴集团|麦当劳中国与阿里巴巴合作升级,将聚焦会员服务、IP合作、全渠道营销等新领域
- 网易云音乐|「年度报告」刷屏,大数据真能代表你?
- 过节|跟马云有过节的4个人,有3个来自腾讯,还有一个请客唯独不请马云
- 英特尔|阿里张勇辞任微博董事;任泽平建议印钱2万亿生娃