新京報(bào)貝殼財(cái)經(jīng)訊（記者羅亦丹）因發(fā)現(xiàn)安全漏洞后的處理問(wèn)題，近日阿里云引發(fā)了一波輿論。

據(jù)媒體報(bào)道，11月24日，阿里云安全團(tuán)隊(duì)向美國(guó)開(kāi)源社區(qū)Apache（阿帕奇）報(bào)告了其所開(kāi)發(fā)的組件存在安全漏洞。12月22日，因發(fā)現(xiàn)ApacheLog4j2組件嚴(yán)重安全漏洞隱患后，未及時(shí)向電信主管部門報(bào)告，阿里云被暫停作為工信部網(wǎng)絡(luò)安全威脅信息共享平臺(tái)合作單位6個(gè)月。

12月23日，阿里云在官方微信公號(hào)表示，其一名研發(fā)工程師發(fā)現(xiàn)Log4j2組件的一個(gè)安全bug，遂按業(yè)界慣例以郵件方式向軟件開(kāi)發(fā)方Apache開(kāi)源社區(qū)報(bào)告這一問(wèn)題請(qǐng)求幫助，“隨后，該漏洞被外界證實(shí)為一個(gè)全球性的重大漏洞。阿里云因在早期未意識(shí)到該漏洞的嚴(yán)重性，未及時(shí)共享漏洞信息。”

“之前發(fā)現(xiàn)這樣的漏洞都是直接通知軟件開(kāi)發(fā)方，這確實(shí)屬于行業(yè)慣例，但是《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》出臺(tái)后，要求漏洞要同時(shí)通報(bào)給國(guó)家主管部門。由于上述法案頒布的時(shí)間不是很長(zhǎng)，我覺(jué)得漏洞的發(fā)現(xiàn)者，最開(kāi)始也未必能評(píng)估到漏洞影響的范圍這么大。所以嚴(yán)格來(lái)說(shuō)，這個(gè)處理不算冤，但處罰其實(shí)也沒(méi)有那么嚴(yán)格，一不罰錢，二不影響做業(yè)務(wù)?！薄蹦嘲踩炯夹g(shù)總監(jiān)鄭陸（化名）告訴貝殼財(cái)經(jīng)記者。

漏洞影響有多大？

那么，如何理解Log4j2漏洞的嚴(yán)重程度呢？

安全公司奇安信將Apache Log4j2漏洞的CERT風(fēng)險(xiǎn)等級(jí)定為“高?！保姘残琶枋龇Q，Apache Log4j 是 Apache 的一個(gè)開(kāi)源項(xiàng)目，通過(guò)定義每一條日志信息的級(jí)別，能夠更加細(xì)致地控制日志生成過(guò)程，“Log4j2中存在JNDI注入漏洞，當(dāng)程序?qū)⒂脩糨斎氲臄?shù)據(jù)進(jìn)行日志記錄時(shí)，即可觸發(fā)此漏洞，成功利用此漏洞可以在目標(biāo)服務(wù)器上執(zhí)行任意代碼?！?/p>

安域云防護(hù)的監(jiān)測(cè)數(shù)據(jù)顯示，截至12月10日中午12點(diǎn)，已發(fā)現(xiàn)近1萬(wàn)次利用該漏洞的攻擊行為。據(jù)了解，該漏洞影響范圍大，利用方式簡(jiǎn)單，攻擊者僅需向目標(biāo)輸入一段代碼，不需要用戶執(zhí)行任何多余操作即可觸發(fā)該漏洞，使攻擊者可以遠(yuǎn)程控制受害者服務(wù)器，90%以上基于java開(kāi)發(fā)的應(yīng)用平臺(tái)都會(huì)受到影響。

“Apache Log4j RCE 漏洞之所以能夠引起安全圈的極大關(guān)注，不僅在于其易于利用，更在于它巨大的潛在危害性。當(dāng)前幾乎所有的技術(shù)巨頭都在使用該開(kāi)源組件，它所帶來(lái)的危害就像多米諾骨牌一樣，影響深遠(yuǎn)。”奇安信安全專家對(duì)貝殼財(cái)經(jīng)記者表示。

“這個(gè)漏洞嚴(yán)重性在于兩點(diǎn)，一是log4j作為java日志的基礎(chǔ)組件使用相當(dāng)廣泛，Apache和90%以上的java應(yīng)用受到影響。二是這個(gè)漏洞的利用入口非常多，幾乎達(dá)到了（只要）是這個(gè)漏洞影響的范圍，只要有輸入的地方就受到影響。用戶或者攻擊者直接可以輸入的地方比如登錄用戶名、查詢信息、設(shè)備名稱等等，以及一些其他來(lái)源的被攻擊者污染的數(shù)據(jù)來(lái)源比如網(wǎng)上一些頁(yè)面等等?！睆氖露嗄曷┒赐诰虻陌踩袠I(yè)老兵，網(wǎng)友“yuange1975”在微博發(fā)文稱。

“簡(jiǎn)而言之，該漏洞算是這幾年來(lái)最大的漏洞了。”鄭陸表示。

在“yuange1975”看來(lái)，該漏洞出來(lái)后，因?yàn)橛绊懱珡V泛，IT圈都在加班加點(diǎn)修補(bǔ)漏洞。不過(guò)，一些圈子里發(fā)文章為了說(shuō)明這個(gè)漏洞的嚴(yán)重性，又有點(diǎn)用了過(guò)高評(píng)價(jià)這個(gè)漏洞的詞語(yǔ)，“我不否認(rèn)這個(gè)漏洞很嚴(yán)重，肯定是排名很靠前的漏洞，但是要說(shuō)是有史以來(lái)最大的網(wǎng)絡(luò)漏洞，就是說(shuō)目前所有已經(jīng)發(fā)現(xiàn)公布的漏洞里排第一，這顯然有點(diǎn)夸大了。”

“l(fā)og4j漏洞發(fā)現(xiàn)者恐怕發(fā)現(xiàn)漏洞時(shí)對(duì)這個(gè)漏洞認(rèn)識(shí)不足，這個(gè)應(yīng)用的范圍以及漏洞觸發(fā)路徑，我相信一直到阿里云上報(bào)完漏洞，恐怕漏洞發(fā)現(xiàn)者都沒(méi)完全明白這個(gè)漏洞的真正嚴(yán)重性，有可能當(dāng)成了Apache下一個(gè)普通插件的一個(gè)漏洞?！眣uange1975表示。

9月1日起施行新規(guī)專家：對(duì)于維護(hù)國(guó)家網(wǎng)絡(luò)安全具有重大意義

據(jù)了解，業(yè)界的開(kāi)源條例遵循的是《負(fù)責(zé)任的安全漏洞披露流程》，這份文件將漏洞披露分為5個(gè)階段，依次是發(fā)現(xiàn)、通告、確認(rèn)、修復(fù)和發(fā)布。發(fā)現(xiàn)漏洞并上報(bào)給原廠商，是業(yè)內(nèi)常見(jiàn)的程序漏洞披露的做法。

貝殼財(cái)經(jīng)記者觀察到，白帽黑客建立漏洞發(fā)現(xiàn)與收集的平臺(tái)并告知企業(yè)的做法一度在圈內(nèi)流行。根據(jù)《財(cái)經(jīng)天下》的報(bào)道，把漏洞報(bào)給原廠商而不是平臺(tái)方，也會(huì)有潛在的好處。包括微軟、蘋(píng)果和谷歌在內(nèi)的廠商對(duì)報(bào)告漏洞的人往往會(huì)有獎(jiǎng)勵(lì)，“最高的能給到十幾萬(wàn)美元”。更重要的是名譽(yù)獎(jiǎng)勵(lì)。幾乎每一家廠商對(duì)第一個(gè)報(bào)告漏洞的人或者集體，都會(huì)公開(kāi)致謝。“對(duì)于安全研究人員而言，這種名聲也會(huì)讓他們非常在意。

不過(guò)，今年9月1日后，這一行業(yè)“常見(jiàn)程序”就要發(fā)生變化。

7月13日，工信部、國(guó)家網(wǎng)信辦、公安部印發(fā)《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》，要求任何組織或者個(gè)人設(shè)立的網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺(tái)，應(yīng)當(dāng)在兩日內(nèi)向工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)報(bào)送相關(guān)漏洞信息。該規(guī)定自2021年9月1日起施行。

值得注意的是，《規(guī)定》中也有漏洞發(fā)現(xiàn)者需要向產(chǎn)品相關(guān)提供者通報(bào)的條款。如《規(guī)定》第七條第一款顯示，發(fā)現(xiàn)或者獲知所提供網(wǎng)絡(luò)產(chǎn)品存在安全漏洞后，應(yīng)當(dāng)立即采取措施并組織對(duì)安全漏洞進(jìn)行驗(yàn)證，評(píng)估安全漏洞的危害程度和影響范圍；對(duì)屬于其上游產(chǎn)品或者組件存在的安全漏洞，應(yīng)當(dāng)立即通知相關(guān)產(chǎn)品提供者。第七條第七款則表示，不得將未公開(kāi)的網(wǎng)絡(luò)產(chǎn)品安全漏洞信息向網(wǎng)絡(luò)產(chǎn)品提供者之外的境外組織或者個(gè)人提供。

奇安信集團(tuán)副總裁、補(bǔ)天漏洞響應(yīng)平臺(tái)主任張卓在接受新京報(bào)貝殼財(cái)經(jīng)記者采訪時(shí)表示，《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》釋放了一個(gè)重要信號(hào)：我國(guó)將首次以產(chǎn)品視角來(lái)管理漏洞，通過(guò)對(duì)網(wǎng)絡(luò)產(chǎn)品漏洞的收集、研判、追蹤、溯源，立足于供應(yīng)鏈全鏈條，對(duì)網(wǎng)絡(luò)產(chǎn)品進(jìn)行全周期的漏洞風(fēng)險(xiǎn)跟蹤，實(shí)現(xiàn)對(duì)我國(guó)各行各業(yè)網(wǎng)絡(luò)安全的有效防護(hù)。在供應(yīng)鏈安全威脅日益嚴(yán)重的全球形勢(shì)下，《規(guī)定》對(duì)于維護(hù)國(guó)家網(wǎng)絡(luò)安全，保護(hù)網(wǎng)絡(luò)產(chǎn)品和重要網(wǎng)絡(luò)系統(tǒng)的安全穩(wěn)定運(yùn)行，具有重大意義。

張卓表示，《規(guī)定》第十條指出，任何組織或者個(gè)人設(shè)立的網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺(tái)，應(yīng)當(dāng)向工業(yè)和信息化部備案。同時(shí)在第六條中指出，鼓勵(lì)相關(guān)組織和個(gè)人向網(wǎng)絡(luò)產(chǎn)品提供者通報(bào)其產(chǎn)品存在的安全漏洞，還“鼓勵(lì)網(wǎng)絡(luò)產(chǎn)品提供者建立所提供網(wǎng)絡(luò)產(chǎn)品安全漏洞獎(jiǎng)勵(lì)機(jī)制，對(duì)發(fā)現(xiàn)并通報(bào)所提供網(wǎng)絡(luò)產(chǎn)品安全漏洞的組織或者個(gè)人給予獎(jiǎng)勵(lì)?！边@兩條規(guī)定規(guī)范了漏洞收集平臺(tái)和白帽子的行為，有利于讓白帽子在合法合規(guī)的條件下發(fā)揮更大的社會(huì)價(jià)值。

新京報(bào)貝殼財(cái)經(jīng)記者羅亦丹

關(guān)鍵詞： 工信部 阿里云