来源：东方集成电路

00-1010 1.工信部决定暂停阿里巴巴云作为工信部网络安全威胁信息共享平台合作单位6个月。这个处罚通知的背后是一个堪比“永恒蓝”的“超级漏洞”。

2.这个“超级漏洞”可以影响数亿台服务器，亚马逊、NSA、谷歌、苹果、Steam、Twitter等大型互联网公司都可能受到影响。

3.相当于“互联网的一个洞”和安全圈的“地震”。阿里巴巴云在没有得到工信部警告的情况下被处罚。

最近白帽圈有个处罚通知“刷屏”。

工信部网络安全管理局的通知显示，阿里巴巴云计算有限公司(简称阿里巴巴云)在发现Apache)Log4j2组件存在严重安全漏洞后，未能及时向电信主管部门报告，未能有效支持工信部开展网络安全威胁和漏洞管理。经研究，工信部网络安全管理局决定暂停阿里巴巴云作为工信部网络安全威胁信息共享平台合作单位6个月。

这个通知让一个轰动了安全圈半个月的“超级漏洞”出现在世人面前。

与此同时，在据 《IT时报》 记者了解，阿帕奇漏洞危害堪比“永恒之蓝”，影响服务器可达数亿台，亚马逊、NSA、谷歌、苹果、Steam、推特等大型互联网公司均可能受其影响。,黑色商品已经在移动，一些利用Apache漏洞注入勒索软件的攻击已经开始。例如，比利时国防部证实，由于阿帕奇Log4j攻击，一些计算机网络处于瘫痪状态。

30秒快读

“互联网有个洞。”安全媒体对这个Apache Log4j漏洞的影响就是这样定义的。

根据工信部12月17日发布的《关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示》的介绍，Apache)Log4j2组件是基于Java语言的开源日志框架，广泛应用于业务系统的开发。发现的漏洞是远程代码执行漏洞，可能导致远程控制设备，进而导致窃取敏感信息、中断设备服务等严重危害，是一个高风险漏洞。

"攻击者只需要一段代码就可以远程控制受害服务器."据齐安新相关人士介绍，该漏洞的利用方法非常简单，用户90%以上基于java开发的应用平台都会受到影响，这意味着几乎所有行业都会受到该漏洞影响，包括苹果、三星、Steam等在内的全球知名科技公司和电商网站的云服务都可能受到影响。.无需额外操作即可触发

Apache Software Foundation将此漏洞列为严重性最高的漏洞，有专家表示，其覆盖范围和危害堪比2017年的“永恒蓝”漏洞。当时黑客组织公布了包括“永恒蓝”在内的大量网络攻击工具。后来，黑客们把“永恒的蓝色”变成了无与伦比的软件。用户一旦连接到网络，就可以让攻击者在不做任何操作的情况下，植入远程控制木马、ransomware、虚拟货币矿机等恶意程序。“永恒蓝”的出现，给全球大型企业和机构政府带来了灾难性的打击。

来源：东方集成电路

基于Apache Log4

j漏洞而被攻击的公司会受什么影响？一位白帽子悲观地向《IT时报》记者表示，黑客可利用该漏洞直接获得目标机器的最高权限（root权限），一旦服务器被攻击，基本等于“房门大开”，所有“坏结果”都可能产生。更糟糕的是，这个漏洞是0day漏洞（零日漏洞），也即被发现时，官方还没有相关补丁，如果被黑产抓住时间差发起进攻，往往会有很大的突发性和破坏性。

12月9日消息传出后，安全圈“地震”，据说有安全人员被连夜叫回公司加班开发解决方案。

与此同时，黑客集团也在和白帽子赛跑。据奇安信介绍，12月9日深夜，仅一小时便收到白帽子提交的百余条该漏洞信息，到第二天10日中午12点，已发现近1万次利用该漏洞的攻击行为。

02 阿里云预警迟到被处罚

“阿里云被罚，应该是《网络产品安全漏洞管理规定》（以下简称《规定》）实施后，第一起根据新规执行的安全事件。”一位白帽子告诉记者。

今年7月13日，工信部、国家互联网信息办公室、公安部联合发布《网络产品安全漏洞管理规定》，对漏洞的发现、报告、修补和发布等行为做了明确规范，《规定》与《数据安全法》一起于9月1日起施行。

《IT时报》记者查阅《规定》发现，其中第七条写明：网络产品提供者发现或者获知所提供网络产品存在安全漏洞后，应当立即采取措施并组织对安全漏洞进行验证，评估安全漏洞的危害程度和影响范围；对属于其上游产品或者组件存在的安全漏洞，应当立即通知相关产品提供者。同时，应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台（以下简称平台）报送相关漏洞信息。

图源：工信部

从此次漏洞被引爆的时间轴上看，早在11月24日，阿里云的一名程序员发现了这一漏洞，并通知了开发Log4j2组件的公司阿帕奇，但并没有根据《规定》在2日内向工信部平台报送相关信息。

随后，阿帕奇软件基金会位于奥地利和新西兰的官方计算机应急小组，开始对该漏洞展开追踪，并率先发布了相关问题的全球预警。

中国官方得到的消息应该是12月9日-10日。工信部网络安全管理局《关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示》中提到，12月9日收到有关网络安全专业机构报告。

《IT时报》记者从国家互联网应急中心发布的一则公告上则看到，12月10日，国家信息安全漏洞共享平台（CNVD）收录了Apache Log4j2远程代码执行漏洞（CNVD-2021-95914），目前，漏洞利用细节已公开，阿帕奇官方已发布补丁修复该漏洞。CNVD建议受影响用户立即更新至最新版本，同时采取防范性措施避免漏洞攻击威胁。

然而，此时距离第一次发现漏洞已经过去半个月。

03 “挖”漏洞合规更重要

“国家对网络漏洞管理进行强监管的背景是，关于网络安全的黑白之争越来越激烈。”在一位安全界人士看来，阿里云此次被罚并不冤，作为中国最大的云服务商，合规意识如此薄弱，的确不应该。

近两年来，发生在安全领域的攻击事件呈直线上升的态势，甚至在全球范围内出现几个规模化、组织化的黑客勒索组织。今年5月，迫使美国最大的成品油管道运营商Colonial Pipeline关闭了一条关键的运输管道的勒索病毒袭击，便来自一家名为“暗面”（DarkSide）的组织。

图源：每日邮报

这些黑客组织嗅觉灵敏，不但研发软件、培训“下线”，甚至还将勒索袭击当做一门生意运营，专门针对一些重要公司进行定向、高索赔额的病毒攻击。

Apache Log4j2漏洞被公开后，网络安全公司Crowdstrike高级副主席迈耶斯（Adam Meyers）便曾表示，截至美国时间12月10日，黑客已经将漏洞“完全武器化”，还开发出利用该漏洞的攻击工具向外分发。

图源：东方IC

据上述安全界人士介绍，网络安全公司报告漏洞的传统做法是先通知厂商，然后等厂商打好补丁后，再向社区公开，让所有使用该产品的企业及时修复漏洞。但从发现漏洞到打好补丁之间毕竟有时间差，很容易被黑客借此打个“闪电战”。尤其是开源软件，有些程序员习惯性地在开源社区内讨论一些细节，也有可能在不知不觉中被黑客找到机会。尤其像Log4j2组件漏洞这样的普遍性问题，由于涉及面太广，很难确保这条传统路径可以将信息传递给所有客户。

近两年来，各个国家对于网络、数据安全越发重视，各种相关法规条例相继出台。和《规定》一样在今年9月1日实施的《数据安全法》第29条也规定：数据处理者发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告。

“无论是安全公司还是云服务商，都应该将这些法规细化为可执行的操作规范，固定下来，但这种合规性要求，对于不少‘草莽’起家的民营白帽子公司是个全新领域，需要好好琢磨。”一位白帽子透露，阿里云被处罚后，公司一直在讨论如何在合规前提下，为客户提供及时有效的安全服务，甚至在考虑转型做一些相对模式较“重”的安全防御，在发现漏洞并上报的时间差里，先第一时间阻断攻击路径，“只是成本肯定会因此上升。”

作者／IT时报记者 郝俊慧

编辑／钱立富 挨踢妹

排版／季嘉颖

图片／工信部 每日邮报 东方IC

来源／《IT时报》公众号vittimes