文/觀察者網 呂棟
這事緣起於壹個月前。當時,阿裏雲團隊的壹名成員發現阿帕奇(Apache)Log4j2組件嚴重安全漏洞後,隨即向位於美國的阿帕奇軟件基金會通報,但並沒有按照規定向中國工信部通報。事發半個月後,中國工信部收到網絡安全專業機構的報告,才發現阿帕奇組件存在嚴重安全漏洞。
阿帕奇組件存在的到底是什麽漏洞?阿裏雲沒有及時通報會造成什麽後果?國內企業在發現安全漏洞後應該走什麽程序通報?觀察者網帶著這些問題采訪了壹些業內人士。
漏洞銀行聯合創始人、CTO張雪松向觀察者網指出,Log4j2組件應用極其廣泛,漏洞危害可以迅速傳播到各個領域。由於阿裏雲未及時向中國主管部門報告相關漏洞,直接造成國內相關機構處於被動地位。
關於Log4j2組件在計算機網絡領域的關鍵作用,有國外網友用漫畫形式做了形象說明。按這個圖片解讀,如果沒有Log4j2組件的支撐,所有現代數字基礎設施都存在倒塌的危險。
國外社交媒體用戶以漫畫的形式,說明Log4j2的重要性
觀察者網梳理此次阿帕奇嚴重安全漏洞的時間線如下:
根據公開資料,此次被阿裏雲安全團隊發現漏洞的Apache Log4j2是壹款開源的Java日誌記錄工具,控制Java類系統日誌信息生成、打印輸出、格式配置等,大量的業務框架都使用了該組件,因此被廣泛應用於各種應用程序和網絡服務。
有資深業內人士告訴觀察者網,Log4j2組件出現安全漏洞主要有兩方面影響:壹是Log4j2本身在java類系統中應用極其廣泛,全球Java框架幾乎都有使用。二是漏洞細節被公開,由於利用條件極低幾乎沒有技術門檻。因適用範圍廣和漏洞利用難度低,所以影響立即擴散並迅速傳播到各個行業領域。
簡單來說,這壹漏洞可以讓網絡攻擊者無需密碼就能訪問網絡服務器。
這並非危言聳聽。美聯社等外媒在獲取消息後評論稱,這壹漏洞可能是近年來發現的最嚴重的計算機漏洞。Log4j2在全行業和政府使用的雲服務器和企業軟件中“無處不在”,甚至犯罪分子、間諜乃至編程新手,都可以輕易使用這壹漏洞進入內部網絡,竊取信息、植入惡意軟件和刪除關鍵信息等。
阿裏雲官網截圖
然而,阿裏雲在發現這個“過去十年內最大也是最關鍵的單壹漏洞”後,並沒有按照《網絡產品安全漏洞管理規定》第七條要求,在2天內向工信部網絡安全威脅和漏洞信息***享平臺報送信息,而只是向阿帕奇軟件基金會通報了相關信息。
觀察者網查詢公開資料發現,阿帕奇軟件基金會(Apache)於1999年成立於美國,是專門為支持開源軟件項目而辦的壹個非營利性組織。在它所支持的Apache項目與子項目中,所發行的軟件產品都遵循Apache許可證(Apache License)。
12月10日,在阿裏雲向阿帕奇軟件基金會通報漏洞過去半個多月後,中國國家信息安全漏洞***享平臺才獲得相關信息,並發布《關於Apache Log4j2存在遠程代碼執行漏洞的安全公告》,稱阿帕奇官方已發布補丁修復該漏洞,並建議受影響用戶立即更新至最新版本,同時采取防範性措施避免漏洞攻擊威脅。
中國國家信息安全漏洞***享平臺官網截圖
事實上,國內網絡漏洞報送存在清晰流程。業內人士向觀察者網介紹,業界通用的漏洞報送流程是,成員單位>工業和信息化部網絡安全管理局 >國家信息安全漏洞***享平臺(CNVD) CVE 中國信息安全測評中心 > 國家信息安全漏洞庫(CNNVD)> 國際非盈利組織CVE;非成員單位或個人註冊提交CNVD或CNNVD。
根據公開資料,CVE(通用漏洞***享披露)是國際非盈利組織,全球通用漏洞***享披露協調企業修復解決安全問題,由於最早由美國發起該漏洞技術委員會,所以組織管理機構主要在美國。而CNVD是中國的信息安全漏洞信息***享平臺,由國內重要信息系統單位、基礎電信運營商、網絡安全廠商、軟件廠商和互聯網企業建立的信息安全漏洞信息***享知識庫。
上述業內人士認為,阿裏這次因為漏洞影響較大,所以被當做典型通報。在CNVD建立之前以及最近幾年,國內安全人員對CVE的***識、認可度和普及程度更高,發現漏洞安全研究人員慣性會提交CVE,雖然最近兩年國家建立了CNVD,但普及程度不夠,估計阿裏安全研究員提交漏洞的時候,認為是個人技術成果的事情,上報國際組織協調修復即可。
但根據最新發布的《網絡產品安全漏洞管理規定》,國內安全研究人員發現漏洞之後報送CNVD即可,CNVD會發起向CVE報送流程,協調廠商和企業修復安全漏洞,不允許直接向國外漏洞平臺提交。
由於阿裏雲這次的行為未有效支撐工信部開展網絡安全威脅和漏洞管理,根據工信部最新通報,工信部網絡安全管理局研究後,決定暫停阿裏雲作為上述合作單位6個月。暫停期滿後,根據阿裏雲整改情況,研究恢復其上述合作單位。
業內人士向觀察者網指出,工信部這次針對是阿裏,其實也是向國內網絡安全行業從業人員發出警示。從結果來看對阿裏的處罰算輕的,壹是沒有踢出成員單位,只是暫停6個月。二是工信部沒有對這次事件的安全研究人員進行個人行政處罰或警告,只是對直接向國外CVE報送的Log4j漏洞的那個安全專家點名批評。
本文系觀察者網獨家稿件,未經授權,不得轉載。