第一個發(fā)現(xiàn)高危漏洞的阿里云,為什么還要被工信部暫停合作?
最近,阿里云安全團(tuán)隊(duì)發(fā)現(xiàn)了一個被安全圈公認(rèn)為注定被載入史冊的漏洞,并及時報(bào)告給了開發(fā)者,可以說功勞甚大。但奇怪的是,不到一個月的時間,工信部網(wǎng)絡(luò)安全管理局隨即對外通報(bào),暫停與阿里云的合作6個月,暫停期滿后,再根據(jù)阿里云公司整改情況,研究是否恢復(fù)合作。
功勞甚大
11月24日,阿里云在Web服務(wù)器軟件阿帕奇(Apache)下的開源日志組件Log4j內(nèi),發(fā)現(xiàn)重大漏洞Log4Shell。發(fā)現(xiàn)漏洞的同時,立即向總部位于美國的阿帕奇軟件基金會報(bào)告。
這個漏洞被安全圈公認(rèn)為注定被載入史冊的高危漏洞,漏洞一經(jīng)披露,不論是大公司還是小公司,無數(shù)程序員徹夜難眠,加班加點(diǎn)修復(fù)該漏洞,安全圈的“熱鬧”場面一點(diǎn)不亞于2020年初新冠病毒的爆發(fā)。
這個核彈級的漏洞究竟有多厲害?
不管是前端、后端還是客戶端工程師,對打日志都不會陌生。日志可以幫助程序員們了解程序的運(yùn)行情況,排查運(yùn)行中出現(xiàn)的問題。
在Java技術(shù)棧中,用的比較多的日志輸出框架主要有l(wèi)og4j2和logback。log4j2便是我們今天的主角。
網(wǎng)絡(luò)安全領(lǐng)域有一個重要的原則:永遠(yuǎn)不要相信用戶輸入的東西。因?yàn)楹芏喙艚砸?ldquo;用戶輸入”而起,比如著名的SQL注入攻擊。
然而,log4j2,這個非常流行的日志輸出框架卻犯了這個低級錯誤。
log4j2中有一個叫JNDI的東西,它可以遠(yuǎn)程下載class文件來構(gòu)建對象,一旦遠(yuǎn)程下載的URL指向黑客的服務(wù)器,下載的class暗藏惡意代碼,會被毫無保留的執(zhí)行。
也就是說,黑客可以輕而易舉地控制受害目標(biāo)。
這就好比兩個小學(xué)生上課遲到,被門口的保安攔住,讓登個記。剛想進(jìn)教室被保安攔住,保安對著一個人說:“敢在登記簿上寫周杰倫?你不知道我周杰倫粉絲啊?”然后對著另一個人說:“易烊千璽,你先進(jìn)去。”
例子不太嚴(yán)謹(jǐn),大體是這么個意思。這個高危漏洞會讓黑客完全控制受害目標(biāo),隨意進(jìn)出、隨意篡改。試想一下,某用戶打開百度搜索首頁,結(jié)果跳轉(zhuǎn)到某一個色情網(wǎng)站的場景,對百度公司來說,絕對是史詩級災(zāi)難。
能發(fā)現(xiàn)如此高危漏洞,阿里云功不可沒。那為什么工信部會暫停與阿里云的合作呢?
難辭其咎
阿里云是工信部網(wǎng)絡(luò)安全威脅信息共享平臺合作單位,足以證明其技術(shù)實(shí)力,但在這件事上,它犯了一個很嚴(yán)重的錯誤。
今年7月12日,工信部刊發(fā)了《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》,已于9月1日起實(shí)施。
其中第七條(二)規(guī)定:
| 漏洞發(fā)現(xiàn)者應(yīng)當(dāng)在2日內(nèi)向工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺報(bào)送相關(guān)漏洞信息。 |
遺憾的是,由于流程把控不嚴(yán),阿里云并沒有向工信部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺報(bào)送相關(guān)漏洞信息。
未及時報(bào)送送網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺,而直接報(bào)告給總部位于美國的阿帕奇軟件基金會。直接導(dǎo)致相關(guān)部門沒有及時掌握該漏洞的具體情況。
事情經(jīng)過如下:
- 11月24日,阿里云安全團(tuán)隊(duì)發(fā)現(xiàn)重大漏洞,向阿帕奇軟件基金會報(bào)告,且沒有按照規(guī)定報(bào)告給工信部。隨后,奧地利和新西蘭計(jì)算機(jī)應(yīng)急小組率先對這一漏洞進(jìn)行了預(yù)警。
- 直至12月9日,工信部才收到有關(guān)網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)報(bào)告,發(fā)現(xiàn)阿帕奇Log4j2組件存在嚴(yán)重安全漏洞,立即召集阿里云、網(wǎng)絡(luò)安全企業(yè)、網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)等開展研判,并向行業(yè)單位進(jìn)行風(fēng)險(xiǎn)預(yù)警。
- 12月10日,漏洞經(jīng)過阿帕奇修復(fù),卻再度被指出仍然存在漏洞,可以被繞過。
- 12月14日,中國國家信息安全漏洞共享平臺發(fā)布《Apache Log4j2遠(yuǎn)程代碼執(zhí)行漏洞排查及修復(fù)手冊》,供相關(guān)單位、企業(yè)及個人參考。
網(wǎng)絡(luò)安全無小事,尤其是如此嚴(yán)重的漏洞,如果被一些有心人利用,極有可能威脅到國家安全。作為企業(yè),我們應(yīng)該時刻關(guān)注相關(guān)法律法規(guī),降低經(jīng)營風(fēng)險(xiǎn)。
