新京報貝殼財經(jīng)訊（記者羅亦丹）因發(fā)現(xiàn)安全漏洞后的處理問題，近日阿里云引發(fā)了一波輿論。

據(jù)媒體報道，11月24日，阿里云安全團隊向美國開源社區(qū)Apache（阿帕奇）報告了其所開發(fā)的組件存在安全漏洞。12月22日，因發(fā)現(xiàn)ApacheLog4j2組件嚴(yán)重安全漏洞隱患后，未及時向電信主管部門報告，阿里云被暫停作為工信部網(wǎng)絡(luò)安全威脅信息共享平臺合作單位6個月。

12月23日，阿里云在官方微信公號表示，其一名研發(fā)工程師發(fā)現(xiàn)Log4j2組件的一個安全bug，遂按業(yè)界慣例以郵件方式向軟件開發(fā)方Apache開源社區(qū)報告這一問題請求幫助，“隨后，該漏洞被外界證實為一個全球性的重大漏洞。阿里云因在早期未意識到該漏洞的嚴(yán)重性，未及時共享漏洞信息。”

“之前發(fā)現(xiàn)這樣的漏洞都是直接通知軟件開發(fā)方，這確實屬于行業(yè)慣例，但是《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》出臺后，要求漏洞要同時通報給國家主管部門。由于上述法案頒布的時間不是很長，我覺得漏洞的發(fā)現(xiàn)者，最開始也未必能評估到漏洞影響的范圍這么大。所以嚴(yán)格來說，這個處理不算冤，但處罰其實也沒有那么嚴(yán)格，一不罰錢，二不影響做業(yè)務(wù)。””某安全公司技術(shù)總監(jiān)鄭陸（化名）告訴貝殼財經(jīng)記者。

漏洞影響有多大？

那么，如何理解Log4j2漏洞的嚴(yán)重程度呢？

安全公司奇安信將Apache Log4j2漏洞的CERT風(fēng)險等級定為“高危”，奇安信描述稱，Apache Log4j 是 Apache 的一個開源項目，通過定義每一條日志信息的級別，能夠更加細(xì)致地控制日志生成過程，“Log4j2中存在JNDI注入漏洞，當(dāng)程序?qū)⒂脩糨斎氲臄?shù)據(jù)進行日志記錄時，即可觸發(fā)此漏洞，成功利用此漏洞可以在目標(biāo)服務(wù)器上執(zhí)行任意代碼。”

安域云防護的監(jiān)測數(shù)據(jù)顯示，截至12月10日中午12點，已發(fā)現(xiàn)近1萬次利用該漏洞的攻擊行為。據(jù)了解，該漏洞影響范圍大，利用方式簡單，攻擊者僅需向目標(biāo)輸入一段代碼，不需要用戶執(zhí)行任何多余操作即可觸發(fā)該漏洞，使攻擊者可以遠(yuǎn)程控制受害者服務(wù)器，90%以上基于java開發(fā)的應(yīng)用平臺都會受到影響。

“Apache Log4j RCE 漏洞之所以能夠引起安全圈的極大關(guān)注，不僅在于其易于利用，更在于它巨大的潛在危害性。當(dāng)前幾乎所有的技術(shù)巨頭都在使用該開源組件，它所帶來的危害就像多米諾骨牌一樣，影響深遠(yuǎn)。”奇安信安全專家對貝殼財經(jīng)記者表示。

“這個漏洞嚴(yán)重性在于兩點，一是log4j作為java日志的基礎(chǔ)組件使用相當(dāng)廣泛，Apache和90%以上的java應(yīng)用受到影響。二是這個漏洞的利用入口非常多，幾乎達(dá)到了（只要）是這個漏洞影響的范圍，只要有輸入的地方就受到影響。用戶或者攻擊者直接可以輸入的地方比如登錄用戶名、查詢信息、設(shè)備名稱等等，以及一些其他來源的被攻擊者污染的數(shù)據(jù)來源比如網(wǎng)上一些頁面等等。”從事多年漏洞挖掘的安全行業(yè)老兵，網(wǎng)友“yuange1975”在微博發(fā)文稱。

“簡而言之，該漏洞算是這幾年來最大的漏洞了。”鄭陸表示。

在“yuange1975”看來，該漏洞出來后，因為影響太廣泛，IT圈都在加班加點修補漏洞。不過，一些圈子里發(fā)文章為了說明這個漏洞的嚴(yán)重性，又有點用了過高評價這個漏洞的詞語，“我不否認(rèn)這個漏洞很嚴(yán)重，肯定是排名很靠前的漏洞，但是要說是有史以來最大的網(wǎng)絡(luò)漏洞，就是說目前所有已經(jīng)發(fā)現(xiàn)公布的漏洞里排第一，這顯然有點夸大了。”

“l(fā)og4j漏洞發(fā)現(xiàn)者恐怕發(fā)現(xiàn)漏洞時對這個漏洞認(rèn)識不足，這個應(yīng)用的范圍以及漏洞觸發(fā)路徑，我相信一直到阿里云上報完漏洞，恐怕漏洞發(fā)現(xiàn)者都沒完全明白這個漏洞的真正嚴(yán)重性，有可能當(dāng)成了Apache下一個普通插件的一個漏洞。”yuange1975表示。

9月1日起施行新規(guī)專家：對于維護國家網(wǎng)絡(luò)安全具有重大意義

據(jù)了解，業(yè)界的開源條例遵循的是《負(fù)責(zé)任的安全漏洞披露流程》，這份文件將漏洞披露分為5個階段，依次是發(fā)現(xiàn)、通告、確認(rèn)、修復(fù)和發(fā)布。發(fā)現(xiàn)漏洞并上報給原廠商，是業(yè)內(nèi)常見的程序漏洞披露的做法。

貝殼財經(jīng)記者觀察到，白帽黑客建立漏洞發(fā)現(xiàn)與收集的平臺并告知企業(yè)的做法一度在圈內(nèi)流行。根據(jù)《財經(jīng)天下》的報道，把漏洞報給原廠商而不是平臺方，也會有潛在的好處。包括微軟、蘋果和谷歌在內(nèi)的廠商對報告漏洞的人往往會有獎勵，“最高的能給到十幾萬美元”。更重要的是名譽獎勵。幾乎每一家廠商對第一個報告漏洞的人或者集體，都會公開致謝。“對于安全研究人員而言，這種名聲也會讓他們非常在意。

不過，今年9月1日后，這一行業(yè)“常見程序”就要發(fā)生變化。

7月13日，工信部、國家網(wǎng)信辦、公安部印發(fā)《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》，要求任何組織或者個人設(shè)立的網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺，應(yīng)當(dāng)在兩日內(nèi)向工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺報送相關(guān)漏洞信息。該規(guī)定自2021年9月1日起施行。

值得注意的是，《規(guī)定》中也有漏洞發(fā)現(xiàn)者需要向產(chǎn)品相關(guān)提供者通報的條款。如《規(guī)定》第七條第一款顯示，發(fā)現(xiàn)或者獲知所提供網(wǎng)絡(luò)產(chǎn)品存在安全漏洞后，應(yīng)當(dāng)立即采取措施并組織對安全漏洞進行驗證，評估安全漏洞的危害程度和影響范圍；對屬于其上游產(chǎn)品或者組件存在的安全漏洞，應(yīng)當(dāng)立即通知相關(guān)產(chǎn)品提供者。第七條第七款則表示，不得將未公開的網(wǎng)絡(luò)產(chǎn)品安全漏洞信息向網(wǎng)絡(luò)產(chǎn)品提供者之外的境外組織或者個人提供。

奇安信集團副總裁、補天漏洞響應(yīng)平臺主任張卓在接受新京報貝殼財經(jīng)記者采訪時表示，《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》釋放了一個重要信號：我國將首次以產(chǎn)品視角來管理漏洞，通過對網(wǎng)絡(luò)產(chǎn)品漏洞的收集、研判、追蹤、溯源，立足于供應(yīng)鏈全鏈條，對網(wǎng)絡(luò)產(chǎn)品進行全周期的漏洞風(fēng)險跟蹤，實現(xiàn)對我國各行各業(yè)網(wǎng)絡(luò)安全的有效防護。在供應(yīng)鏈安全威脅日益嚴(yán)重的全球形勢下，《規(guī)定》對于維護國家網(wǎng)絡(luò)安全，保護網(wǎng)絡(luò)產(chǎn)品和重要網(wǎng)絡(luò)系統(tǒng)的安全穩(wěn)定運行，具有重大意義。

張卓表示，《規(guī)定》第十條指出，任何組織或者個人設(shè)立的網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺，應(yīng)當(dāng)向工業(yè)和信息化部備案。同時在第六條中指出，鼓勵相關(guān)組織和個人向網(wǎng)絡(luò)產(chǎn)品提供者通報其產(chǎn)品存在的安全漏洞，還“鼓勵網(wǎng)絡(luò)產(chǎn)品提供者建立所提供網(wǎng)絡(luò)產(chǎn)品安全漏洞獎勵機制，對發(fā)現(xiàn)并通報所提供網(wǎng)絡(luò)產(chǎn)品安全漏洞的組織或者個人給予獎勵。”這兩條規(guī)定規(guī)范了漏洞收集平臺和白帽子的行為，有利于讓白帽子在合法合規(guī)的條件下發(fā)揮更大的社會價值。

新京報貝殼財經(jīng)記者羅亦丹

關(guān)鍵詞： 工信部 阿里云