壹個月前開始的。當時,阿裏雲團隊的壹名成員發現了Apache)Log4j2組件的嚴重安全漏洞,並立即通知了美國的Apache軟件基金會,但沒有按要求通知中國工信部。事發半個月後,中國工信部接到網絡安全專業機構的報告,才發現Apache組件存在嚴重的安全漏洞。
Apache組件到底有什麽缺陷?如果阿裏雲沒有及時上報會怎麽樣?國內企業發現安全漏洞後應該走哪些程序?觀察者網帶著這些問題采訪了壹些業內人士。
漏洞銀行聯合創始人兼CTO張學松向《觀察報》指出,Log4j2組件應用廣泛,漏洞隱患可以快速擴散到各個領域。阿裏雲未能及時向國內主管部門報告相關漏洞,直接導致國內相關機構處於被動地位。
關於Log4j2組件在計算機網絡領域的關鍵作用,國外有網友以漫畫的形式做了壹個形象的解釋。根據這張圖,如果沒有Log4j2組件的支持,所有現代數字基礎設施都有崩潰的危險。
國外社交媒體用戶以漫畫的形式說明了Log4j2的重要性。
觀察者的時間線。com整理這個嚴重的Apache安全漏洞如下:
公開資料顯示,此次安全團隊在阿裏雲發現的Apache Log4j2是壹款開源的Java日誌工具,控制Java系統中日誌信息的生成、打印輸出和格式配置。該組件在大量的業務框架中使用,因此廣泛應用於各種應用程序和網絡服務中。
壹位資深業內人士告訴觀察者,Log4j2組件的安全漏洞主要有兩個影響:壹是Log4j2本身在類java系統中應用廣泛,在spring mvc中幾乎全世界都在使用。第二,漏洞細節公開,由於利用條件極低,幾乎沒有技術門檻。由於其應用範圍廣,利用漏洞的難度低,影響立即迅速擴散到各個行業。
簡單來說,這個漏洞允許網絡攻擊者在沒有密碼的情況下訪問網絡服務器。
這不是危言聳聽。美聯社等外媒得到消息後評論稱,這壹漏洞可能是近年來發現的最嚴重的電腦漏洞。Log4j2在整個行業和政府使用的雲服務器和企業軟件中“無處不在”。即使是犯罪分子、間諜,甚至是編程新手,也可以輕易利用這個漏洞進入內網,竊取信息,植入惡意軟件,刪除關鍵信息。
阿裏雲官網截圖
然而,阿裏雲在發現這壹“十年來最大、最關鍵的單個漏洞”後,並沒有按照《網絡產品安全漏洞管理規定》第七條的要求,在兩天內將信息報送至工信部網絡安全威脅與漏洞信息共享平臺,而只是將相關信息告知了Apache軟件基金會。
據觀察者網公開資料顯示,Apache於1999成立於美國,是壹家專門支持開源軟件項目的非營利組織。在其支持的Apache項目和子項目中,分發的軟件產品都遵循Apache許可證。
65438+2月10,在Apache軟件基金會獲悉阿裏雲存在漏洞半個多月後,中國國家信息安全漏洞* * *分享平臺獲得相關信息,發布了Apache Log4j2遠程代碼執行漏洞安全公告,稱Apache官方已發布補丁修復該漏洞,並建議受影響用戶立即更新至最新版本,采取防範措施避免漏洞攻擊威脅。
中國國家信息安全漏洞* * *享平臺官網截圖。
事實上,在中國舉報網絡漏洞有壹個明確的流程。業內人士告訴Observer.com記者,行業內常見的漏洞上報流程是:成員單位>:工信部網絡安全管理局>國家信息安全漏洞* * *共享平臺(CNVD) CVE中國信息安全測評中心>國家信息安全漏洞數據庫(CNNVD)>:國際非盈利組織CVE;;非會員單位或個人註冊提交CNVD或CNNVD。
公開資料顯示,CVE(Common Vulnerability * * * enjoy disclosure)是壹家國際非盈利組織,全球通用漏洞* * * enjoy disclosure,旨在協調企業修復和解決安全問題。由於這個漏洞的技術委員會最早是由美國發起的,組織管理機構主要在美國。CNVD是國內信息安全漏洞共享平臺,國內重要信息系統單位、基礎電信運營商、網絡安全廠商、軟件廠商、互聯網公司建立的信息安全漏洞信息共享在知識庫中。
上述業內人士認為,由於該漏洞影響巨大,阿裏被視為典型通報。在CNVD成立之前和近幾年,國內安保人員對CVE的認識、認可和普及程度較高。當安全研究人員發現漏洞時,他們會提交給CVE。雖然最近兩年中國成立了CNVD,但是知名度還不夠。估計阿裏安全研究人員提交漏洞時,認為是個人技術成果,上報國際組織協調修復。
但根據最新的《網絡產品安全漏洞管理規定》,國內安全研究人員發現漏洞後可以提交給CNVD。CNVD將向CVE啟動提交流程,協調廠商和企業修復安全漏洞,不允許直接提交給國外漏洞平臺。
因阿裏雲的行為未有效支持工業和信息化部開展網絡安全威脅和漏洞管理,根據工信部最新通報,工信部網絡安全管理局經研究決定暫停阿裏雲作為上述合作單位6個月。暫停期滿後,根據阿裏雲內整改情況,將恢復上述合作單位。
業內人士向觀察者指出。com認為工信部這次針對阿裏,其實是在警告國內網絡安全行業的從業人員。從結果來看,對阿裏的處罰較輕。第壹,他沒有踢出會員單位,只是停職六個月。第二,工信部並沒有對此次事件的安全研究人員進行個人行政處罰或警告,只是對直接向國外CVE提交Log4j漏洞的安全專家進行了批評。
本文為《觀察家》獨家稿件。未經授權不得轉載。