阿里云漏了一个“洞”
阿里云因为一个安全漏洞,被推到了风口浪尖。
起因是11月24日,阿里云安全团队向美国开源社区Apache(阿帕奇)报告了一条安全漏洞。这是一条Log4j2远程代码执行(RCE)漏洞,全球各地的安全机构都已发出了警告。
这原本只是一个小圈子内的事情,但随着事态扩大,阿里云在这过程中的处置方法遭到了质疑。阿里云把这个安全漏洞报告给美国阿帕奇后,并没有及时向国家工信部报告。直到15天后,工信部才知晓,并立即组织了有关网络安全专业机构开展漏洞风险分析,向行业单位进行风险预警。
据中国日报报道,因为没有及时向电信主管部门报告信息安全漏洞,工信部网络安全管理局最终决定,暂停阿里云作为上述合作单位6个月。暂停期满后,根据阿里云整改情况,研究恢复其上述合作单位。
不过,工信部网站只发布了风险提示,并没有对阿里云进行相关处罚的通报。“因为是暂停合作,并非行政处罚。”据一位知情人士透露。
在行业人士看来,阿里云的做法符合之前的行业规范,但从今年开始,对于国内从事网络安全的企业和人员提出了更多的要求。阿里云被处罚一事也在警示着大家:在信息安全面前,国家利益大于一切。
“核弹级”的漏洞
“Log4j2安全漏洞的影响面特别大。”林默声(化名)对《财经天下》周刊说,他是国内一位知名的网络安全专家。
Log4j2的漏洞采用的是java的一个组件,用来写日志,因为比较好用,所以被广泛采用。林默声介绍,用java开发的大部分东西都会用到Log4j的组件,所以这次出现漏洞之后,影响非常深远。
据称,攻击者可以通过这个漏洞提取敏感数据、将文件上传到服务器、删除数据、安装勒索软件、或进一步散播到其它服务器。外界甚至将这一漏洞形容为“核弹级”。一位安全领域的专家告诉《财经天下》周刊,Log4j2作为组件一般位于软件供应关系的底层,因此关于此漏洞的放大效应将逐渐显现。
11月24日,这个漏洞率先被阿里云的团队发现,并将这一信息报告给了Log4j的运营方阿帕奇基金会。
奥地利和新西兰官方的计算机应急小组率先对这一漏洞进行了预警。而后,美国国家安全局、德国电信CERT也都紧急发出了安全预警,而我国工信部也将该安全漏洞定性为高危漏洞。
12月7日,在阿里云团队发现漏洞后的两周时间,Apache官方发布了安全补丁,可并没有多大作用。
危害已经产生,勒索软件已经开始盯上了这个漏洞。而奇安信安全服务团队透露,截至12月13日,已经陆续接到10多起利用ApacheLog4j2漏洞勒索攻击的应急响应需求。其攻击源主要分布在荷兰、中国、德国、美国、奥地利等国家。目前,新西兰计算机紧急响应中心(CERT)、美国国家安全局、德国电信CERT、中国国家互联网应急中心(CERT/CC)等多国机构相继发出警告,足见该漏洞所引发的担忧与疑虑。
有关报道显示,黑客在72小时内利用Log4j2漏洞,向全球发起了超过84万次攻击。
影响还在持续,因为修补漏洞会是一个漫长的过程。官方在源代码的漏洞补上之后,引用这个源代码的所有软件还需要修复,修复之后还得让这个软件的所有客户升级才行。而这个漫长过程给攻击者留出了很大的空间。
此前,已有安全专家撰文预测,该漏洞的影响还会持续数月,届时相关的攻击和影响面才会有所减弱。
开源热潮席卷全球,纵观全球信息产业,更是呈现“得开源者得生态,得开源者得天下 ”的态势。开源最大的特点无疑是全球共享和开放属性,导致任何一个极为基础的代码漏洞都可能引发连锁的蝴蝶效应,各大互联网企业计算平台会组建安全专家进行巡逻和探针,用于发现安全漏洞。
正如奇安信的预测,ApacheLog4j2漏洞影响面大,利用门槛低,未来几天会有更多的僵尸网络、挖矿病毒、勒索软件等利用此漏洞发起攻击,其危害不容忽视。
阿里云错在哪儿?
在这件事情的处理上,阿里云的做法存在问题。由于阿帕奇软件基金会成立于美国,阿里云的问题在于,将漏洞及时报告给了美国,相反却没有向我国工信部报告,屁股坐歪了。
不过,也有业内人士提出,发现外国开源软件漏洞,向厂家反馈是正常操作。
一位程序员告诉《财经天下》周刊,业界的开源条例遵循的是《负责任的安全漏洞披露流程》,这份文件将漏洞披露分为5个阶段,依次是发现、通告、确认、修复和发布。发现漏洞并上报给原厂商,是业内常见的程序漏洞披露的做法。
2017年10月,微软发布了新一轮安全更新,修复了Office的高危漏洞(CVE-2017-11826)。黑客可以利用该漏洞,发送恶意的Office文件,用户中招后会成为被控制的“肉鸡”。
而发现该漏洞的是360安全团队。根据360的描述,360通过与微软安全团队的积极配合,火速推进了该漏洞补丁的发布,使其在发现一周内得以妥善修复。在后续的官方公告中,微软对360的贡献进行了公开致谢。
而在2018年,腾讯电脑管家安全团队也因为捕获了一例Flash 0day漏洞,并迅速上报给了Adobe官方。对方发布公告专门对腾讯表示了感谢。
2020年,腾讯安全团队向Linux社区提交了两个Linux X.25套接字漏洞,该漏洞的风险等级高,攻击者利用漏洞可能控制整个系统。这些漏洞尚未被修复时,腾讯已将漏洞细节按Linux社区规则予以公开披露。
而且,林默声对《财经天下》周刊透露,把漏洞报给原厂商而不是平台方,也会有潜在的好处。包括微软、苹果和谷歌在内的厂商对报告漏洞的人往往会有奖励,“最高的能给到十几万美元”。
更重要的是名誉奖励。几乎每一家厂商对第一个报告漏洞的人或者集体,都会公开致谢。“对于安全研究人员而言,这种名声也会非常在意。”林默声说,获得厂商致谢的次数,也是网络安全行业的研究人员比拼的东西,“你今年得到了5次致谢,我得到了10次,我就比你牛”。
另外,“咱们的漏洞平台又修复不了,这就是为什么要报给原厂商。”林默声说。
但是,除了行业规则,国家相关部门在今年有了新的规定。2021年7月,工信部、网信办和公安部联合下发的《关于印发网络产品安全漏洞管理规定的通知》中规定,发现或者获知所提供网络产品存在安全漏洞后,应当立即采取措施并组织对安全漏洞进行验证,评估安全漏洞的危害程度和影响范围;对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品提供者。
该通知同时规定,发现漏洞后,还应当在2日内向工信部网络安全威胁和漏洞信息共享平台(CNVD)报送相关漏洞信息。
上述安全专家猜测,工程师一般本着解决软件漏洞的思维,重点放在解决技术问题上,对于上报、政策等环节或许没有经验,但此次事件反映出云计算厂商还需增强在安全漏洞方面的敏感度。
“过去这么多年的规矩都是这样的,阿里云也是按照老黄历来办事的,只不过现在的政策有不同的要求了,大的形势也不一样了。”林默声说,“阿里云不见得是有意为之。”
“阿里云这次如果是两边同时报了会好一点,或者时间差不要这么大。”林默声说,国内还是通过外媒的炒作才知道有这么一个漏洞。
>相关《阿里云漏了一个“洞”》内容:
1、 笑喷!当嘻茶、夸雷的茶、茶颜月色...都在一个群,他们竟然“卷”成这样
理财鱼小提示:笑喷!当嘻茶、夸雷的茶、茶颜月色...都在一个群,他们竟然“卷”成这样 笑喷!当嘻茶、夸雷的茶、茶颜月色...都在一个群,他们竟然“卷”成这样 年轻人爱喝的奶茶们 也开始“内卷”了? 如今,各式各样的奶茶 不仅包装精致,口味独特 营销也时常...【继续阅读】
2、 一个不能少 浙江南浔构筑“六无六有”共富帮扶体系
理财鱼小提示:一个不能少 浙江南浔构筑“六无六有”共富帮扶体系 央广网南浔12月26日消息(记者 魏炜 通讯员 高曙英)共同富裕,是中华民族千百年来共同的夙愿。2021年,在建党百年之际,浙江成为全国实现共同富裕的重要试验田。对于浙江而言,如何关注“平均数...【继续阅读】
3、 57岁阿姨: 退休金一个月1800块,但生活仍然有滋有味,我很满意
理财鱼小提示:57岁阿姨: 退休金一个月1800块,但生活仍然有滋有味,我很满意 导语: 现在很多年轻人工作特别的辛苦,每天朝九晚五,一个月下来还是月光族,根本就存不到钱。年轻人都很羡慕老年人退休后的生活,认为在家里看看书养养花还能拿退休金,简直太快乐...【继续阅读】