作者 | 李扬霞
编辑 | 林觉民
12月22日上午,一则阿里云被暂停其工信部网络安全威胁信息共享平台合作单位身份,为期6个月的消息,在网上疯传。
据工业和信息化部网络安全管理局通报称,阿里云因在发现阿帕奇Log4j2组件重大安全漏洞后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。被暂停其工信部网络安全威胁信息共享平台合作单位身份,为期6个月。
网络安全管理局表示,暂停期满后,根据阿里云公司整改情况,研究恢复其上述合作单位。
自12月9日夜间Log4j 2漏洞发现以来,受到业内外的极大关注,一位网友表示,“以前不关注网络安全领域都对这一漏洞有所了解。”
一位安全专家表示:“从Log4j2漏洞披露以来,基本上震动全民,不管是安全从业者,还是安全爱好者抑或是做黑产、做勒索的黑客,基本上彻夜不眠,行动不断。"
众所周知,Apache Log4j是被全球广泛应用的组件,其漏洞影响范围波及全球堪比“永恒之蓝”漏洞,利用复杂度低,一旦利用成功,可能导致设备远程受控,进而引发敏感信息窃取、设备服务中断等严重危害,造成的危害和损失不可预估。
据相关媒体报道称,比利时国防部网络最近受到不明攻击者的成功攻击,攻击者利用Apache日志库log4j的巨大漏洞实施攻击。
不仅是政府,还有企业也是攻击的对象,只要使用JAVA开发的基本上都会受到影响。同时个人用户受到攻击的案例也已经出现。《我的世界》JAVA版游戏前几天被监测出大量黑客利用Apache Log4j 2漏洞攻击个人用户。
Log4j 2影响的后果逐渐显现。
1.阿里云被“以身试法”了吗?
一位业内人士表示:“按照业内漏洞披露的周期,整个流程应该是,先报给厂商,厂商根据漏洞影响度,在相应的时间提供一个解决方案,然后10天、 45 天或者 90 天,然后厂家提供了解决方案以后,才会出一个漏洞通告。”
这次Log4j 2漏洞的特殊就在于它本身是一个开源的软件。没有给修复时间就被疯狂转发,因为开源软件修复代码是公开的,而修复代码里面一部分就是测试代码,而测试代码就是用来检查修复是否正确,整个过程相当于是公开的,基本上就等于公开了漏洞原理和攻击方式。
自阿里云12月9日将漏洞报告给Apache,Log4j 2漏洞也开始逐渐发酵。
而自2021年9月1日正式施行的《网络产品安全漏洞管理规定》:不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息。认为有必要提前发布的,应当与相关网络产品提供者共同评估协商,并向工业和信息化部、公安部报告,由工业和信息化部、公安部组织评估后进行发布。
【 Log4j2|阿里云都被责令整改了,Log4j2漏洞惹出的乱子何时休?】同时该规定明确相关企业要接受至少4家的管理检查,分别是 国家互联网信息办公室、工业和信息化部、公安部和有关行业主管部门;同时企业应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。
《网络产品安全漏洞管理规定》第三条规定 国家互联网信息办公室负责统筹协调网络产品安全漏洞管理工作。工业和信息化部负责网络产品安全漏洞综合管理,承担电信和互联网行业网络产品安全漏洞监督管理。公安部负责网络产品安全漏洞监督管理,依法打击利用网络产品安全漏洞实施的违法犯罪活动。有关主管部门加强跨部门协同配合,实现网络产品安全漏洞信息实时共享,对重大网络产品安全漏洞风险开展联合评估和处置。
据了解,12月9日,工业和信息化部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告,阿帕奇Log4j2组件存在严重安全漏洞。工信部立即组织有关网络安全专业机构开展漏洞风险分析,召集阿里云、网络安全企业、网络安全专业机构等开展研判,通报督促阿帕奇软件基金会及时修补该漏洞,向行业单位进行风险预警。
文章插图
2.Log4j 2漏洞,三步攻陷任何设备
Log4j 2是近十年来可以排到top3的漏洞,影响面极广,包括大部分线上业务、我们平时使用的网站以及有网络外联功能的硬件产品。
目前来看一些勒索病毒、挖矿等都已经开始有所动作了,其中PoC攻击方式也已经在互联网出现,虽然一些安全厂商也已经及时响应,做出一些监测方案和修复方案,但是绝大部分网站还是会受到影响,只是目前评估起来比较困难。
- 快科技|云鲸用创新技术强势出圈,市场发展潜力巨大
- 阿里巴巴|阿里被罚182亿!腾讯为什么至今安然无恙?
- 中国联通|微信“一哥”坐不住了?阿里社交黑马崛起,坐拥4亿用户,厉害了
- 阿里巴巴|阿里真是“腹背受敌”?继京东拼多多之后,抖音电商逼近淘系!
- 小米科技|宋九九:我的腾讯云服务器被封禁,被限制访问
- 腾讯|腾讯大王卡套路深,最后换成了阿里大鱼卡
- 云闪付|都走了支付宝和微信,还有人用云闪付,意义是什么?
- 华为|华为疑似云控用户,没关机、没更新,手机却莫名其妙出现广告
- 云闪付|云闪付要想“翻身”,接下来应该怎么做呢?
- OPPO|云闪付是“光杆司令”