張雪:“計算機史上最大漏洞”砸中了阿里云
點擊: 作者:張雪 來源:百度百家號 發布時間:2021-12-23 10:17:23
出品|虎嗅科技組
作者|張雪
封面|CFP
12月22日下午,據中國日報報道,工信部相關人士向其記者確認,因發現嚴重漏洞未及時報告,阿里云計算有限公司(阿里云)被暫停工信部網絡安全威脅信息共享平臺合作單位6個月。
對于“暫停”原因,工信部也做了相關通報:
阿里云發現阿帕奇(Apache)Log4j2組件嚴重安全漏洞隱患后,未及時向電信主管部門報告,未有效支撐工信部開展網絡安全威脅和漏洞管理。
通報指出,阿里云是工信部網絡安全威脅信息共享平臺合作單位。經研究,工信部網絡安全管理局決定暫停阿里云作為上述合作單位6個月。暫停期滿后,根據阿里云整改情況,研究恢復其上述合作單位。
此外,有微博網友指出里面在這個漏洞發現和處理的過程中,阿里云有多重身份,它同時涉及了《網絡產品安全漏洞管理規定》里的:網絡運營者,從事漏洞發現、收集、披露等活動的組織或個人,網絡產品安全漏洞收集平臺。
在從事漏洞發現、收集、披露等活動的組織或個人身份下,阿里云首先發現了漏洞,是漏洞發現的組織。這個身份的義務是按規定規范流程來公開漏洞,且不能報送給除產品提供者 (這里是 Apache)的境外組織,阿里云遵守了作為漏洞發現組織的流程和義務。
作為網絡運營者,阿里云提供的網絡服務可能使用了Log4j2,從而出現安全漏洞。阿里云這個身份的義務是立即采取措施,及時對安全漏洞進行驗證并完成修補。理論上講,阿里云也較好地完成了這個身份的義務。
而根據《網絡安全法》,網絡服務方發現其網絡產品、服務存在安全缺陷漏洞應當按照規定及時向有關主管部門報告。對于這條,阿里云可能有違規行為。
同時,由于阿里云又是網絡產品安全漏洞收集平臺,也是工信部網絡安全威脅信息共享平臺合作單位。在該身份下,阿里云“未有效支撐工信部開展網絡安全威脅和漏洞管理”,而這一點則是阿里云這次被處罰的關鍵。
據公開資料,阿里云11月24日就發現了上述漏洞,而這個漏洞被認為可能是“計算機歷史上最大的漏洞”,隨后其率先向阿帕奇軟件基金會(即軟件的運維方)披露了該漏洞,但并末及時向工信部通報相關信息。
隨后,奧地利和新西蘭官方的計算機應急小組率先對這一漏洞進行預警,而中國工信部是在收到網絡安全專業機構報告后,才發現阿帕奇Log4j2組件存在嚴重安全漏洞。
其實,在22日一早,阿里云就曾登上熱搜,討論度也是居高不下。而在這場討論中,大致可以分為兩個陣營,其一,有部分人認為,從技術的角度出發,阿里云做法不能算錯。其二,另一部分人認為,阿里云未能履行合作要求,處罰過輕。
對于這兩種觀點,我們不做任何評價,本文只是探討該漏洞到底是什么,為何危害如此嚴重。
據悉,Log4j是被廣泛應用在服務器上的軟件,Log4j2組件漏洞影響了許多云服務,涉及到政務部門和大多數企業。相關研究表明,93%的云環境都存在漏洞風險,盡管現在有45%的易受攻擊的云資源已被修補。
據一位程序員朋友稱,從12月10日以來,他們整個公司都在改Log4j2組件的Bug,他后來又補了一句稱,應該是所有公司都在改這個Bug。原因在于,Log4j這個庫太基礎,應用太廣,所以影響了很多公司。
另一位開源行業從業者也無奈表示,誰也想不到那么基礎,用的那么多的一個庫會有這么嚴重的漏洞。
相關文件指出:“該漏洞可能導致設備遠程控制,可能導致敏感信息被盜、設備服務中斷等嚴重危害。這是一個高風險的漏洞”。
通俗來講,這個漏洞允許網絡犯罪分子未經許可在系統上運行惡意代碼,然后接管組織的整個服務器,也相當于我們把自己家的鑰匙給了路人。
在微軟此前對該漏洞也發出了警告,它指出 Log4j2的雙管齊下問題是一個缺陷,其中包括輕松利用其漏洞的能力以及基于它構建的產品數量。Apache Log4j2是當前使用的最流行的Java 日志庫之一。
具體來說,日志庫用于為開發人員提供有關服務和產品的附加信息,讓他們控制在應用程序執行期間或用戶登錄特定服務或設備的錯誤報告或功能問題時收集的數據量。
使用日志庫時,開發人員可以深入了解或收集有關設備的信息,包括 CPU 類型、GPU 型號、驅動程序版本、系統內存等。
對于這個漏洞的影響,如果用一個比喻來形容,可以說是軟件行業的“新冠病毒”。
據網絡安全公司Check Point稱,迄今為止,Log4j在GitHub項目的下載量已超過400000次。更糟糕的是,它被全球多數的流行公司使用,其中不僅包括微軟,還包括Twitter、蘋果、亞馬遜、百度、網易等。
我們知道,開源軟件的全球化和開放共享的特性使得任何一個非常底層和基礎的開源組件的漏洞都有可能像一個新冠病毒一樣快速傳播,對全球的數字化產業帶來無法估量的影響。而這種影響的持續時間可能是3~5年,甚至更長。
與此同時,由于Log4j屬于開源軟件,所以關于開源軟件安全性這種老生常談的話題又被擺在了明面上。
不過大部分人認為,“所有軟件,無論是開源的還是閉源的,都存在潛在的網絡安全漏洞。我們現在才知道如何將檢測和修復。而開源安全基金會的項目都是有小團隊進行維護的,并得到了技術供應商的強力支持。”
值得慶幸的是,這個漏洞雖然很大,但一般來講要執行命令,還會有其他驗證。也正是如此,現在還沒有造成巨大損失的案例出現。
但也有專業人士指出:“在未來幾周和幾個月內,該漏洞引發勒索軟件攻擊的可能性“非常高”,這只是時間問題。”
一個值得注意的事實是,當前市面上已經出現了兩個針對 Log4j漏洞的勒索軟件,其中一個更是早期主要針對中國,現在已將范圍擴大到了美國和歐洲。
有高級安全研究員表示:“中國的系統以及一些托管在美國和歐洲多個站點的亞馬遜和谷歌云服務中的系統都成為了目標。”
另外,業界普遍認為該漏洞并不難修補,到目前為止,Apache 已經發布了一個修復程序,該修復程序應該涵蓋所有受影響的日志包版本。
“軟件是一版一版的發布,出問題的是老版本,新版已經改掉了,所以只要把之前引用的老版改成新的就可以了 。”上述程序員朋友談到。
不幸的是,每家公司都以不同的方式實施Log4j,而且他們應用修復的速度仍然可能使數百萬客戶的數據暴露。
來源:虎嗅APP百度百家號(侵刪)
責任編輯:向太陽
特別申明:
1、本文只代表作者個人觀點,不代表本站觀點,僅供大家學習參考;
2、本站屬于非營利性網站,如涉及版權和名譽問題,請及時與本站聯系,我們將及時做相應處理;
3、歡迎各位網友光臨閱覽,文明上網,依法守規,IP可查。
作者 相關信息
內容 相關信息
? 昆侖專題 ?
? 高端精神 ?
? 新征程 新任務 新前景 ?
? 習近平治國理政 理論與實踐 ?
? 我為中國夢獻一策 ?
? 國資國企改革 ?
? 雄安新區建設 ?
? 黨要管黨 從嚴治黨 ?
熱點排行
建言點贊
圖片新聞
