扫码打开虎嗅APP
本文来自微信公众号:财经E法(ID:CAIJINGELAW),作者:刘畅,编辑:朱弢,题图来自:视觉中国
阿里云因一次安全隐患登上热搜。
12月17日,工业和信息化部网络安全管理局通报称,提醒有关单位和公众“密切关注阿帕奇Log4j2组件漏洞补丁发布,排查自有相关系统阿帕奇Log4j2组件使用情况,及时升级组件版本”。
“阿帕奇(Apache)Log4j2组件”是基于Java语言的开源日志框架,包括控制Java类系统日志信息生成、打印输出、格式配置等,大量的业务框架都使用了该组件,因此被广泛应用于各种应用程序和网络服务。
此通报一出,引发“IT”圈的震动。
“前几天一直在加班加点做补丁,”一位搜索引擎网站的开发工程师对《财经》E法表示,“这个组件覆盖面极大,影响到的企业也非常多。我认识的大多数业内同行都在为这事儿加班。这是一个‘超级史诗’漏洞。”
12月22日,有接近工信部的消息人士透露,工信部网络安全管理局的一次内部通报指出,因阿里云公司发现Log4j2组件严重安全漏洞隐患后,未及时向主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理,阿里云被暂停工信部网络安全威胁信息共享平台合作单位6个月。暂停期满后,根据阿里云的整改情况,研究恢复其上述合作单位。
12月23日晚间,阿里云通过官方微信公号发布了声明,称“因在早期未意识到该漏洞的严重性,未及时共享漏洞信息”,并强调将强化漏洞管理、提升合规意识。
Log4j2组件的这个漏洞可能的影响究竟多大?阿里云又为何被处罚?
一、Log4j2组件是什么?漏洞影响有多大?
在12月23日晚间的通报中,阿里云表示:“近日,阿里云一名研发工程师发现Log4j2 组件的一个安全bug,遂按业界惯例以邮件方式向软件开发方Apache开源社区报告这一问题请求帮助。Apache开源社区确认这是一个安全漏洞,并向全球发布修复补丁。随后,该漏洞被外界证实为一个全球性的重大漏洞。”
阿里云微信公众号23日晚间发布的情况说明。
工信部在12月17日发布的通报中表示,自身是于12月9日接到“有关网络安全专业机构”报告,称Log4j2 组件存在“严重安全漏洞”。
而阿里云官网则于12月9日晚11时左右发布漏洞通告,称安全团队发现Apache Log4j 2.15.0-rc1版本存在漏洞绕过,要求用户及时更新版本,并向用户介绍该漏洞的具体背景及相应的修复方案。
一个值得注意的细节是,多位IT界人士对《财经》E法透露,根据自已所在公司的内部通报和“各类信息来源”,阿里云可能在更早的11月末就已发现这一重大漏洞“Log4Shell”,并向总部位于美国的阿帕奇软件基金会(Apache Software Foundation)报告。
阿帕奇软件基金会(Apache)于1999年在美国成立,是专门为支持开源软件项目而办的一个非营利性组织。在它所支持的Apache项目与子项目中,所发行的软件产品都遵循Apache许可证(Apache License)。
阿里云官网12月9日晚发布的漏洞通告。
12月14日,中国国家信息安全漏洞共享平台发布《Apache Log4j2远程代码执行漏洞排查及修复手册》,供相关单位、企业及个人参考。
12月14日中国国家信息安全漏洞共享平台发布的《Apache Log4j2远程代码执行漏洞排查及修复手册》截图。
12月22日,工信部发布内部通报,决定暂停阿里云作为工信部网络安全威胁信息共享平台合作单位6个月。
多位程序员向《财经》E法表示,作为最常用的Java程序日志监控组件和Java全生态的基础组件之一,Log4j2一旦出现问题,影响将是“灾难性的”。
小盾安全产品技术专家赵山对《财经》E法指出,Apache Log4j 是目前最为优秀的开源 Java 日志记录工具之一,被大量应用于互联网业务系统的开发和应用,Log4j 2为其重要的升级版本。
“该漏洞风险是由Log4j 2 提供的lookup功能造成的,该功能允许通过一些协议去读取相应环境中的配置,且未对输入进行严格的判断,使得攻击者可以通过JNDI注入实现远程加载恶意类到应用中,从而控制终端设备。”赵山表示。
赵山为互联网企业提出应急、排查、升级“三步走”的防护策略。
“第一步,止血是关键,要启动WAF/IPS等安全设备,创建有效的防护规则和策略。”赵山表示。
接下来则应排查应用是否引入Apache Log4j-core Jar包。“若存在依赖引入,且在受影响版本范围内,建议在不影响现有应用的前提下尽快升级最新版本。”赵山说。
此外,升级已知受影响的应用及组件及jdk版本(即Java 语言的软件开发工具包),也可在一定程度上限制JNDI等漏洞利用方式。
据Canalys发布中国云计算市场2021年第三季度报告显示,阿里云、华为云、腾讯云和百度云占据第一梯队,其中阿里云市场份额排名第一,份额为38.3%,华为云为17%,腾讯云为16.6%,百度云为8.2%。
12月22日,阿里巴巴港股开盘下跌,截至收盘跌幅5.14%;23日,跌幅1.39%;截至12月24日港股收盘,阿里巴巴报收113港元,跌幅0.26%,市值2.45万亿港元。
二、对中国网络安全界的一次警示
随着阿帕奇软件基金会于12月9日披露Log4j漏洞,苹果、亚马逊、IBM、微软、推特等全球大量可能受到这一漏洞影响的互联网公司均发布相关风险提示和警告。
“这个漏洞影响的是全球几乎所有的互联网企业。”前述搜索引擎工程师对《财经》E法表示。
美国网络安全与基础设施安全局(Cybersecurity and Infrastructure Security Agency,下称CISA)局长简·伊斯特利(Jen Easterly)在美国时间19日发表的一份声明中称:“要明确的是,这个漏洞构成严重风险。”
12月24日,阿里的合作方石基信息在互动平台回应“阿里云被暂停工信部网络安全威胁信息共享平台合作单位,对公司是否有影响”时表示,目前阿里云已经解决了相关技术问题,“此事件亦不会对公司国内开发的使用阿里云的产品产生显著影响”。
2021年9月1日,为落实《网络产品安全漏洞管理规定》(下称《规定》)有关要求,工信部网络安全管理局组织建设的网络安全威胁和漏洞信息共享平台正式上线运行。
《规定》第七条第二项要求,网络产品提供者“应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等”。
对外经济贸易大学数字经济与法律创新研究中心主任许可指出,如果阿里云此次是自己的产品和服务中存在漏洞,应按照上述规定进行处理;但若并非自己的产品或服务,目前相关规定仍需进一步完善。
许可进一步指出,阿里云这一次被暂停相关共享资质“算不上行政处罚,只是一个软法规制”。他表示,《网络安全法》第三十九条对于网络安全信息的共享问题做出过规定,但相关制度并未得到落实。在刚刚生效的《数据安全法》第二十二条提出,“国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制”。
“如果要建立起这样一种安全机制,就应当去报送相应信息安全方面的材料。但在《网络安全法》和《数据安全法》中,都没有对于相关风险信息、安全信息的报送和共享制订明确的规则。”许可指出,除了这两部法律,在工信部近日起草的《工业和信息化领域数据安全风险信息报送与共享工作指引(试行)》稿中,对于相关的安全风险信息的报送和共享也提出了相应要求,但现在仍处于征求意见稿阶段。
“所以,对这一问题现在仍没有特别明确的法律程序和具体操作指引。此次阿里云事件,反映出信息安全信息共享的相关立法还有待进一步完善。”许可总结。
世辉律师事务所合伙人王新锐则认为,根据前述《规定》及工信部2017年公布的《公共互联网网络安全威胁监测与处置办法》中第六条“相关专业机构、基础电信企业、网络安全企业、互联网企业、域名注册管理和服务机构等监测发现网络安全威胁后,属于本单位自身问题的,应当立即进行处置,涉及其他主体的,应当及时将有关信息按照规定的内容要素和格式提交至工业和信息化部和相关省、自治区、直辖市通信管理局”的规定,阿里云有义务报告这一漏洞。
“根据工信部网络安全管理局的通报,阿里云发现阿帕奇Log4j2组件存在远程代码执行漏洞。不论是在其自身的产品中涉及这一组件,还是在研发中发现这一组件存在漏洞,都有向工业和信息化部建立网络安全威胁信息共享平台报告的义务。尤其是,阿里云还是该共享平台的合作单位。”王新锐介绍。
但王新锐也指出,从这次通报的情况即“暂停作为合作单位6个月,期满继续恢复”这一角度来看,这并非是依据Log4j2漏洞对其作出的行政处罚,所以也要判断阿里云“是否作为产品提供者而发现的这一漏洞”。
“阿里云这次若是在自身产品中用到了这个组件,其上报的义务就比较高;若不是,那根据目前法律规定,只是鼓励上报,没有强制,”王新锐总结,“当然,这主要还是基于对公开信息的分析。考虑到这一漏洞的综合评级是‘高危’,及时向境内主管机构报告,是《网络安全法》及其配套规则的应有之意。”
业内普遍认为,此次规制是监管方对国内网络安全界的一次警示。
“仔细想想,处罚得并不重,没有彻底把阿里云剔出‘网络安全威胁信息共享平台合作单位’,只是暂停6个月;也没有对个人进行行政处罚或警告。”前述搜索引擎工程师表示,“但这无疑是一次警告,让所有从业者心中有规则,做事不逾矩。”
本文来自微信公众号:财经E法(ID:CAIJINGELAW),作者:刘畅