本文字?jǐn)?shù)：3534，閱讀時(shí)長大約6分鐘

文 |《財(cái)經(jīng)》E法 劉暢

編輯 | 朱弢

阿里云因一次安全隱患登上熱搜。

12月17日，工業(yè)和信息化部網(wǎng)絡(luò)安全管理局通報(bào)稱，提醒有關(guān)單位和公眾“密切關(guān)注阿帕奇Log4j2組件漏洞補(bǔ)丁發(fā)布，排查自有相關(guān)系統(tǒng)阿帕奇Log4j2組件使用情況，及時(shí)升級(jí)組件版本”。

“阿帕奇（Apache）Log4j2組件”是基于Java語言的開源日志框架，包括控制Java類系統(tǒng)日志信息生成、打印輸出、格式配置等，大量的業(yè)務(wù)框架都使用了該組件，因此被廣泛應(yīng)用于各種應(yīng)用程序和網(wǎng)絡(luò)服務(wù)。

此通報(bào)一出，引發(fā)“IT”圈的震動(dòng)。

“前幾天一直在加班加點(diǎn)做補(bǔ)丁，”一位搜索引擎網(wǎng)站的開發(fā)工程師對(duì)《財(cái)經(jīng)》E法表示，“這個(gè)組件覆蓋面極大，影響到的企業(yè)也非常多。我認(rèn)識(shí)的大多數(shù)業(yè)內(nèi)同行都在為這事兒加班。這是一個(gè)“超級(jí)史詩”漏洞。”

12月22日，有接近工信部的消息人士透露，工信部網(wǎng)絡(luò)安全管理局的一次內(nèi)部通報(bào)指出，因阿里云公司發(fā)現(xiàn)Log4j2組件嚴(yán)重安全漏洞隱患后，未及時(shí)向主管部門報(bào)告，未有效支撐工信部開展網(wǎng)絡(luò)安全威脅和漏洞管理，阿里云被暫停工信部網(wǎng)絡(luò)安全威脅信息共享平臺(tái)合作單位6個(gè)月。暫停期滿后，根據(jù)阿里云的整改情況，研究恢復(fù)其上述合作單位。

12月23日晚間，阿里云通過官方微信公號(hào)發(fā)布了聲明，稱“因在早期未意識(shí)到該漏洞的嚴(yán)重性，未及時(shí)共享漏洞信息”，并強(qiáng)調(diào)將強(qiáng)化漏洞管理、提升合規(guī)意識(shí)。

Log4j2組件的這個(gè)漏洞可能的影響究竟多大？阿里云又為何被處罰？

01

Log4j2組件是什么？漏洞影響有多大？

在12月23日晚間的通報(bào)中，阿里云表示：“近日，阿里云一名研發(fā)工程師發(fā)現(xiàn)Log4j2 組件的一個(gè)安全bug，遂按業(yè)界慣例以郵件方式向軟件開發(fā)方Apache開源社區(qū)報(bào)告這一問題請(qǐng)求幫助。Apache開源社區(qū)確認(rèn)這是一個(gè)安全漏洞，并向全球發(fā)布修復(fù)補(bǔ)丁。隨后，該漏洞被外界證實(shí)為一個(gè)全球性的重大漏洞。”

阿里云微信公眾號(hào)23日晚間發(fā)布的情況說明。

工信部在12月17日發(fā)布的通報(bào)中表示，自身是于12月9日接到“有關(guān)網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)”報(bào)告，稱Log4j2 組件存在“嚴(yán)重安全漏洞”。

而阿里云官網(wǎng)則于12月9日晚11時(shí)左右發(fā)布漏洞通告，稱安全團(tuán)隊(duì)發(fā)現(xiàn)Apache Log4j 2.15.0-rc1版本存在漏洞繞過，要求用戶及時(shí)更新版本，并向用戶介紹該漏洞的具體背景及相應(yīng)的修復(fù)方案。

一個(gè)值得注意的細(xì)節(jié)是，多位IT界人士對(duì)《財(cái)經(jīng)》E法透露，根據(jù)自已所在公司的內(nèi)部通報(bào)和“各類信息來源”，阿里云可能在更早的11月末就已發(fā)現(xiàn)這一重大漏洞“Log4Shell”，并向總部位于美國的阿帕奇軟件基金會(huì)（Apache Software Foundation）報(bào)告。

阿帕奇軟件基金會(huì)（Apache）于1999年在美國成立，是專門為支持開源軟件項(xiàng)目而辦的一個(gè)非營利性組織。在它所支持的Apache項(xiàng)目與子項(xiàng)目中，所發(fā)行的軟件產(chǎn)品都遵循Apache許可證（Apache License）。

阿里云官網(wǎng)12月9日晚發(fā)布的漏洞通告。

12月14日，中國國家信息安全漏洞共享平臺(tái)發(fā)布《Apache Log4j2遠(yuǎn)程代碼執(zhí)行漏洞排查及修復(fù)手冊》，供相關(guān)單位、企業(yè)及個(gè)人參考。

12月14日中國國家信息安全漏洞共享平臺(tái)發(fā)布的《Apache Log4j2遠(yuǎn)程代碼執(zhí)行漏洞排查及修復(fù)手冊》截圖。

12月22日，工信部發(fā)布內(nèi)部通報(bào)，決定暫停阿里云作為工信部網(wǎng)絡(luò)安全威脅信息共享平臺(tái)合作單位6個(gè)月。

多位程序員向《財(cái)經(jīng)》E法表示，作為最常用的Java程序日志監(jiān)控組件和Java全生態(tài)的基礎(chǔ)組件之一，Log4j2一旦出現(xiàn)問題，影響將是“災(zāi)難性的”。

小盾安全產(chǎn)品技術(shù)專家趙山對(duì)《財(cái)經(jīng)》E法指出，Apache Log4j 是目前最為優(yōu)秀的開源 Java 日志記錄工具之一，被大量應(yīng)用于互聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)的開發(fā)和應(yīng)用，Log4j 2為其重要的升級(jí)版本。

“該漏洞風(fēng)險(xiǎn)是由Log4j 2 提供的lookup功能造成的，該功能允許通過一些協(xié)議去讀取相應(yīng)環(huán)境中的配置，且未對(duì)輸入進(jìn)行嚴(yán)格的判斷，使得攻擊者可以通過JNDI注入實(shí)現(xiàn)遠(yuǎn)程加載惡意類到應(yīng)用中，從而控制終端設(shè)備。”趙山表示。

趙山為互聯(lián)網(wǎng)企業(yè)提出應(yīng)急、排查、升級(jí)“三步走”的防護(hù)策略。

“第一步，止血是關(guān)鍵，要啟動(dòng)WAF/IPS等安全設(shè)備，創(chuàng)建有效的防護(hù)規(guī)則和策略。”趙山表示。

接下來則應(yīng)排查應(yīng)用是否引入Apache Log4j-core Jar包。“若存在依賴引入，且在受影響版本范圍內(nèi)，建議在不影響現(xiàn)有應(yīng)用的前提下盡快升級(jí)最新版本。”趙山說。

此外，升級(jí)已知受影響的應(yīng)用及組件及jdk版本（即Java 語言的軟件開發(fā)工具包），也可在一定程度上限制JNDI等漏洞利用方式。

據(jù)Canalys發(fā)布中國云計(jì)算市場2021年第三季度報(bào)告顯示，阿里云、華為云、騰訊云和百度云占據(jù)第一梯隊(duì)，其中阿里云市場份額排名第一，份額為38.3%，華為云為17%，騰訊云為16.6%，百度云為8.2%。

12月22日，阿里巴巴港股開盤下跌，截至收盤跌幅5.14%；23日，跌幅1.39％；截至今日港股收盤，阿里巴巴報(bào)收113港元，跌幅0.26％，市值2.45萬億港元。

02

對(duì)中國網(wǎng)絡(luò)安全界的一次警示

隨著阿帕奇軟件基金會(huì)于12月9日披露Log4j漏洞，蘋果、亞馬遜、IBM、微軟、推特等全球大量可能受到這一漏洞影響的互聯(lián)網(wǎng)公司均發(fā)布相關(guān)風(fēng)險(xiǎn)提示和警告。

“這個(gè)漏洞影響的是全球幾乎所有的互聯(lián)網(wǎng)企業(yè)。”前述搜索引擎工程師對(duì)《財(cái)經(jīng)》E法表示。

美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(Cybersecurity and Infrastructure Security Agency，下稱CISA)局長簡·伊斯特利（Jen Easterly）在美國時(shí)間19日發(fā)表的一份聲明中稱：“要明確的是，這個(gè)漏洞構(gòu)成嚴(yán)重風(fēng)險(xiǎn)。”

12月24日，阿里的合作方石基信息在互動(dòng)平臺(tái)回應(yīng)“阿里云被暫停工信部網(wǎng)絡(luò)安全威脅信息共享平臺(tái)合作單位，對(duì)公司是否有影響”時(shí)表示，目前阿里云已經(jīng)解決了相關(guān)技術(shù)問題，“此事件亦不會(huì)對(duì)公司國內(nèi)開發(fā)的使用阿里云的產(chǎn)品產(chǎn)生顯著影響”。

2021年9月1日，為落實(shí)《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》（下稱《規(guī)定》）有關(guān)要求，工信部網(wǎng)絡(luò)安全管理局組織建設(shè)的網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)正式上線運(yùn)行。

《規(guī)定》第七條第二項(xiàng)要求，網(wǎng)絡(luò)產(chǎn)品提供者“應(yīng)當(dāng)在2日內(nèi)向工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)報(bào)送相關(guān)漏洞信息。報(bào)送內(nèi)容應(yīng)當(dāng)包括存在網(wǎng)絡(luò)產(chǎn)品安全漏洞的產(chǎn)品名稱、型號(hào)、版本以及漏洞的技術(shù)特點(diǎn)、危害和影響范圍等”。

對(duì)外經(jīng)濟(jì)貿(mào)易大學(xué)數(shù)字經(jīng)濟(jì)與法律創(chuàng)新研究中心主任許可指出，如果阿里云此次是自己的產(chǎn)品和服務(wù)中存在漏洞，應(yīng)按照上述規(guī)定進(jìn)行處理；但若并非自己的產(chǎn)品或服務(wù)，目前相關(guān)規(guī)定仍需進(jìn)一步完善。

許可進(jìn)一步指出，阿里云這一次被暫停相關(guān)共享資質(zhì)“算不上行政處罰，只是一個(gè)軟法規(guī)制”。他表示，《網(wǎng)絡(luò)安全法》第三十九條對(duì)于網(wǎng)絡(luò)安全信息的共享問題做出過規(guī)定，但相關(guān)制度并未得到落實(shí)。在剛剛生效的《數(shù)據(jù)安全法》第二十二條提出，“國家建立集中統(tǒng)一、高效權(quán)威的數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、報(bào)告、信息共享、監(jiān)測預(yù)警機(jī)制”。

“如果要建立起這樣一種安全機(jī)制，就應(yīng)當(dāng)去報(bào)送相應(yīng)信息安全方面的材料。但在《網(wǎng)絡(luò)安全法》和《數(shù)據(jù)安全法》中，都沒有對(duì)于相關(guān)風(fēng)險(xiǎn)信息、安全信息的報(bào)送和共享制訂明確的規(guī)則。”許可指出，除了這兩部法律，在工信部近日起草的《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全風(fēng)險(xiǎn)信息報(bào)送與共享工作指引（試行）》稿中，對(duì)于相關(guān)的安全風(fēng)險(xiǎn)信息的報(bào)送和共享也提出了相應(yīng)要求，但現(xiàn)在仍處于征求意見稿階段。

“所以，對(duì)這一問題現(xiàn)在仍沒有特別明確的法律程序和具體操作指引。此次阿里云事件，反映出信息安全信息共享的相關(guān)立法還有待進(jìn)一步完善。”許可總結(jié)。

世輝律師事務(wù)所合伙人王新銳則認(rèn)為，根據(jù)前述《規(guī)定》及工信部2017年公布的《公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全威脅監(jiān)測與處置辦法》中第六條“相關(guān)專業(yè)機(jī)構(gòu)、基礎(chǔ)電信企業(yè)、網(wǎng)絡(luò)安全企業(yè)、互聯(lián)網(wǎng)企業(yè)、域名注冊管理和服務(wù)機(jī)構(gòu)等監(jiān)測發(fā)現(xiàn)網(wǎng)絡(luò)安全威脅后，屬于本單位自身問題的，應(yīng)當(dāng)立即進(jìn)行處置，涉及其他主體的，應(yīng)當(dāng)及時(shí)將有關(guān)信息按照規(guī)定的內(nèi)容要素和格式提交至工業(yè)和信息化部和相關(guān)省、自治區(qū)、直轄市通信管理局”的規(guī)定，阿里云有義務(wù)報(bào)告這一漏洞。

“根據(jù)工信部網(wǎng)絡(luò)安全管理局的通報(bào)，阿里云發(fā)現(xiàn)阿帕奇Log4j2組件存在遠(yuǎn)程代碼執(zhí)行漏洞。不論是在其自身的產(chǎn)品中涉及這一組件，還是在研發(fā)中發(fā)現(xiàn)這一組件存在漏洞，都有向工業(yè)和信息化部建立網(wǎng)絡(luò)安全威脅信息共享平臺(tái)報(bào)告的義務(wù)。尤其是，阿里云還是該共享平臺(tái)的合作單位。”王新銳介紹。

但王新銳也指出，從這次通報(bào)的情況即“暫停作為合作單位6個(gè)月，期滿繼續(xù)恢復(fù)”這一角度來看，這并非是依據(jù)Log4j2漏洞對(duì)其作出的行政處罰，所以也要判斷阿里云“是否作為產(chǎn)品提供者而發(fā)現(xiàn)的這一漏洞”。

“阿里云這次若是在自身產(chǎn)品中用到了這個(gè)組件，其上報(bào)的義務(wù)就比較高；若不是，那根據(jù)目前法律規(guī)定，只是鼓勵(lì)上報(bào)，沒有強(qiáng)制，”王新銳總結(jié)，“當(dāng)然，這主要還是基于對(duì)公開信息的分析。考慮到這一漏洞的綜合評(píng)級(jí)是“高危”，及時(shí)向境內(nèi)主管機(jī)構(gòu)報(bào)告，是《網(wǎng)絡(luò)安全法》及其配套規(guī)則的應(yīng)有之意。”

業(yè)內(nèi)普遍認(rèn)為，此次規(guī)制是監(jiān)管方對(duì)國內(nèi)網(wǎng)絡(luò)安全界的一次警示。

“仔細(xì)想想，處罰得并不重，沒有徹底把阿里云剔出‘網(wǎng)絡(luò)安全威脅信息共享平臺(tái)合作單位’，只是暫停6個(gè)月；也沒有對(duì)個(gè)人進(jìn)行行政處罰或警告。”前述搜索引擎工程師表示，“但這無疑是一次警告，讓所有從業(yè)者心中有規(guī)則，做事不逾矩。”

關(guān)鍵詞： 阿里云 漏洞 組件 工信部 log4j2 java 財(cái)經(jīng) 信息 apache 阿帕奇