阿里云事件,很多人其实不知道,这是个大事。 11月24日,阿里云发现一个漏洞—— 全世界广泛使用的服务器Apache(阿帕奇)开源项目log4j日志组件中存在致命漏洞。 该漏洞可能导致设备远程受控,进而引发敏感信息窃取、设备服务中断等严重危害,属于高危漏洞。 也就是说,这个漏洞一旦被攻击者利用,哪怕这个攻击者是普通的小白,都可以轻而易举地攻入目标服务器,获取最高权限,窃取或控制服务器。 然而,在阿里云发现如此重大的隐患后,却没有第一时间上报工信部等主管部门,而是选择将这个漏洞先告诉了国外机构,工信部完全被蒙在鼓里。 直到外国机构公布这一事项时,我国相关部门才知晓此事,经彻查最终确定这一重大漏洞的发现者居然是阿里云。 有网友表示,阿里云早在半个月前就发现了这个「核弹级的漏洞」,但却一直没有上报给工信部。 这里,我们不免要问上一句:阿里云发现漏洞后第一时间报给国外软件开发方,可不可以? 首先,咱们的工信部没有说阿里云不能把漏洞先报给Apache,也没有要求说必须先报给自己,只是要求发现漏洞两天内上报就行。根据《网络产品安全漏洞管理规定》第七条规定,各企业发现安全漏洞后,应当在2日内向工信部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。 报送内容应当包括,存在网络产品安全漏洞的产品名称、型号、版本,以及漏洞的技术特点、危害和影响范围等。并及时进行修补,将修补方式告知可能受影响的产品用户。 从这一点上来看,咱们的工信部还是很讲道理的,制定的规则完全合乎情理。 但规定里有一点可是明确了的,那就是一旦发现问题,需要在2日内上报。 然而,阿里云却把这事整整"捂"了半个月! 面对工信部的警示和疑问,阿里云却解释称是这是由于商业惯例,所以先向软件开发商请求帮助。 换句话说,也就是阿里云觉得自己的行为没有问题,并且在程序上应当先向外国的机构"发邮件"。 所以,这事究竟有没有小题大做? 讲到这里,那我们就得看本次阿里云发现的安全漏洞影响有多严重了。 据悉,安全公司奇安信已将本次Apache Log4j2漏洞的CERT风险等级定为"高危"。 奇安信描述称,Apache Log4j 是 Apache 的一个开源项目,通过定义每一条日志信息的级别,能够更加细致地控制日志生成过程。 而Log4j2中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。 据安域云防护的监测数据显示,截至12月10日中午12点,已发现近1万次利用该漏洞的攻击行为。 据了解,该漏洞影响范围大,利用方式简单,攻击者仅需向目标输入一段代码,不需要用户执行任何多余操作即可触发该漏洞,使攻击者可以远程控制受害者服务器,90%以上基于java开发的应用平台都会受到影响。 有奇安信的安全专家表示,Apache Log4j RCE 漏洞之所以能够引起安全圈的极大关注,不仅在于其易于利用,更在于它巨大的潜在危害性。当前几乎所有的技术巨头都在使用该开源组件,它所带来的危害就像多米诺骨牌一样,影响深远。 简而言之,该漏洞算是这几年来最大的漏洞了。 这么一个大漏洞,被阿里云发现了,阿里云的技术可以说是非常厉害了。 但是整整15天内,中国的网络大门大开,几乎处于不设防的状态,一切都完全暴露,没人提醒没人管。 打个简单的比喻就是,家里的大门半个月没关,随便什么人一推就进来了,想拿啥就拿啥,怪不得高层震怒。 于是,12月22日,工信部发布通报,语气很严厉: 取消其网络安全威胁信息共享平台合作单位资格,立即整改6个月,处罚届满后将根据整改情况,研究其是否恢复资格。 事实上,这已经不是阿里云第一次出现安全问题了。 今年8月,一份浙江省通信管理局对投诉人的答复函自网络流出,称此前阿里云计算有限公司未经用户同意,擅自将用户留存的注册信息泄露给第三方合作公司。随后,浙江省通信管理局相关负责人向媒体确认了此事的真实性。 而从阿里云对本次漏洞事件的回应,我们不难看出,阿里云显然还没有意识到,工信部对于其警示的真正含义。 "罚停"并不是要追究谁的过错,真正的问题是我们国家的网络安全极为重要,阿里云作为绝对领先的科技巨头,应当认清企业应有的责任感和基本的国家安全意识。 希望在经历这次教训之后,阿里云能对自身的所作所为有所认识,这样才能在以后的发展道路上稳步前行。 END 经营证券期货业务许可证 统一社会信用代码(境外机构编号):91310109MA1G5BK839 免责声明:本文为个人观点,不代表本平台的观点或立场,不构成任何投资建议,不能作为您的投资依据,您需独立做出投资决策,风险自担。请您确认自己的具有相应的权利、行为能力、风险识别能力及风险承受能力,能够独立承担法律责任。以上部分内容和图片来源于网络,若存在作品、版权或其他内容侵权等问题,请联系删除。历史业绩不代表未来收益。投资有风险,入市需谨慎!