聯絡微信:heguilvshi 郵箱:[email protected]
本文字數:3534,閱讀時長大約6分鐘
文 |《財經》E法 劉暢
編輯|朱弢
阿里雲因一次安全隱患登上熱搜。
12月17日,工業和資訊化部網路安全管理局通報稱,提醒有關單位和公眾“密切關注阿帕奇Log4j2元件漏洞補丁釋出,排查自有相關係統阿帕奇Log4j2元件使用情況,及時升級元件版本”。
“阿帕奇(Apache)Log4j2元件”是基於Java語言的開源日誌框架,包括控制Java類系統日誌資訊生成、列印輸出、格式配置等,大量的業務框架都使用了該元件,因此被廣泛應用於各種應用程式和網路服務。
此通報一出,引發“IT”圈的震動。
“前幾天一直在加班加點做補丁,”一位搜尋引擎網站的開發工程師對《財經》E法表示,“這個元件覆蓋面極大,影響到的企業也非常多。我認識的大多數業內同行都在為這事兒加班。這是一個“超級史詩”漏洞。”
12月22日,有接近工信部的訊息人士透露,工信部網路安全管理局的一次內部通報指出,因阿里雲公司發現Log4j2元件嚴重安全漏洞隱患後,未及時向主管部門報告,未有效支撐工信部開展網路安全威脅和漏洞管理,阿里雲被暫停工信部網路安全威脅資訊共享平臺合作單位6個月。暫停期滿後,根據阿里雲的整改情況,研究恢復其上述合作單位。
12月23日晚間,阿里雲透過官方微信公號釋出了宣告,稱“因在早期未意識到該漏洞的嚴重性,未及時共享漏洞資訊”,並強調將強化漏洞管理、提升合規意識。
Log4j2元件的這個漏洞可能的影響究竟多大?阿里雲又為何被處罰?
01
Log4j2元件是什麼?漏洞影響有多大?
在12月23日晚間的通報中,阿里雲表示:“近日,阿里雲一名研發工程師發現Log4j2 元件的一個安全bug,遂按業界慣例以郵件方式向軟體開發方Apache開源社群報告這一問題請求幫助。Apache開源社群確認這是一個安全漏洞,並向全球釋出修復補丁。隨後,該漏洞被外界證實為一個全球性的重大漏洞。”
阿里雲微信公眾號23日晚間釋出的情況說明。
工信部在12月17日釋出的通報中表示,自身是於12月9日接到“有關網路安全專業機構”報告,稱Log4j2 元件存在“嚴重安全漏洞”。
而阿里雲官網則於12月9日晚11時左右釋出漏洞通告,稱安全團隊發現Apache Log4j 2.15.0-rc1版本存在漏洞繞過,要求使用者及時更新版本,並向用戶介紹該漏洞的具體背景及相應的修復方案。
一個值得注意的細節是,多位IT界人士對《財經》E法透露,根據自已所在公司的內部通報和“各類資訊來源”,阿里雲可能在更早的11月末就已發現這一重大漏洞“Log4Shell”,並向總部位於美國的阿帕奇軟體基金會(Apache Software Foundation)報告。
阿帕奇軟體基金會(Apache)於1999年在美國成立,是專門為支援開源軟體專案而辦的一個非營利性組織。在它所支援的Apache專案與子專案中,所發行的軟體產品都遵循Apache許可證(Apache License)。
阿里雲官網12月9日晚釋出的漏洞通告。
12月14日,中國國家資訊保安漏洞共享平臺釋出《Apache Log4j2遠端程式碼執行漏洞排查及修復手冊》,供相關單位、企業及個人參考。
12月14日中國國家資訊保安漏洞共享平臺釋出的《Apache Log4j2遠端程式碼執行漏洞排查及修復手冊》截圖。
12月22日,工信部發布內部通報,決定暫停阿里雲作為工信部網路安全威脅資訊共享平臺合作單位6個月。
多位程式設計師向《財經》E法表示,作為最常用的Java程式日誌監控元件和Java全生態的基礎元件之一,Log4j2一旦出現問題,影響將是“災難性的”。
小盾安全產品技術專家趙山對《財經》E法指出,Apache Log4j 是目前最為優秀的開源 Java 日誌記錄工具之一,被大量應用於網際網路業務系統的開發和應用,Log4j 2為其重要的升級版本。
“該漏洞風險是由Log4j 2 提供的lookup功能造成的,該功能允許透過一些協議去讀取相應環境中的配置,且未對輸入進行嚴格的判斷,使得攻擊者可以透過JNDI注入實現遠端載入惡意類到應用中,從而控制終端裝置。”趙山表示。
趙山為網際網路企業提出應急、排查、升級“三步走”的防護策略。
“第一步,止血是關鍵,要啟動WAF/IPS等安全裝置,建立有效的防護規則和策略。”趙山表示。
接下來則應排查應用是否引入Apache Log4j-core Jar包。“若存在依賴引入,且在受影響版本範圍內,建議在不影響現有應用的前提下儘快升級最新版本。”趙山說。
此外,升級已知受影響的應用及元件及jdk版本(即Java 語言的軟體開發工具包),也可在一定程度上限制JNDI等漏洞利用方式。
據Canalys釋出中國雲端計算市場2021年第三季度報告顯示,阿里雲、華為雲、騰訊雲和百度雲佔據第一梯隊,其中阿里雲市場份額排名第一,份額為38.3%,華為云為17%,騰訊云為16.6%,百度云為8.2%。
12月22日,阿里巴巴港股開盤下跌,截至收盤跌幅5.14%;23日,跌幅1.39%;截至今日港股收盤,阿里巴巴報收113港元,跌幅0.26%,市值2.45萬億港元。
02
對中國網路安全界的一次警示
隨著阿帕奇軟體基金會於12月9日披露Log4j漏洞,蘋果、亞馬遜、IBM、微軟、推特等全球大量可能受到這一漏洞影響的網際網路公司均釋出相關風險提示和警告。
“這個漏洞影響的是全球幾乎所有的網際網路企業。”前述搜尋引擎工程師對《財經》E法表示。
美國網路安全與基礎設施安全域性(Cybersecurity and Infrastructure Security Agency,下稱CISA)局長簡·伊斯特利(Jen Easterly)在美國時間19日發表的一份宣告中稱:“要明確的是,這個漏洞構成嚴重風險。”
12月24日,阿里的合作方石基資訊在互動平臺迴應“阿里雲被暫停工信部網路安全威脅資訊共享平臺合作單位,對公司是否有影響”時表示,目前阿里雲已經解決了相關技術問題,“此事件亦不會對公司國內開發的使用阿里雲的產品產生顯著影響”。
2021年9月1日,為落實《網路產品安全漏洞管理規定》(下稱《規定》)有關要求,工信部網路安全管理局組織建設的網路安全威脅和漏洞資訊共享平臺正式上線執行。
《規定》第七條第二項要求,網路產品提供者“應當在2日內向工業和資訊化部網路安全威脅和漏洞資訊共享平臺報送相關漏洞資訊。報送內容應當包括存在網路產品安全漏洞的產品名稱、型號、版本以及漏洞的技術特點、危害和影響範圍等”。
對外經濟貿易大學數字經濟與法律創新研究中心主任許可指出,如果阿里雲此次是自己的產品和服務中存在漏洞,應按照上述規定進行處理;但若並非自己的產品或服務,目前相關規定仍需進一步完善。
許可進一步指出,阿里雲這一次被暫停相關共享資質“算不上行政處罰,只是一個軟法規制”。他表示,《網路安全法》第三十九條對於網路安全資訊的共享問題做出過規定,但相關制度並未得到落實。在剛剛生效的《資料安全法》第二十二條提出,“國家建立集中統一、高效權威的資料安全風險評估、報告、資訊共享、監測預警機制”。
“如果要建立起這樣一種安全機制,就應當去報送相應資訊保安方面的材料。但在《網路安全法》和《資料安全法》中,都沒有對於相關風險資訊、安全資訊的報送和共享制訂明確的規則。”許可指出,除了這兩部法律,在工信部近日起草的《工業和資訊化領域資料安全風險資訊報送與共享工作指引(試行)》稿中,對於相關的安全風險資訊的報送和共享也提出了相應要求,但現在仍處於徵求意見稿階段。
“所以,對這一問題現在仍沒有特別明確的法律程式和具體操作指引。此次阿里雲事件,反映出資訊保安資訊共享的相關立法還有待進一步完善。”許可總結。
世輝律師事務所合夥人王新銳則認為,根據前述《規定》及工信部2017年公佈的《公共網際網路網路安全威脅監測與處置辦法》中第六條“相關專業機構、基礎電信企業、網路安全企業、網際網路企業、域名註冊管理和服務機構等監測發現網路安全威脅後,屬於本單位自身問題的,應當立即進行處置,涉及其他主體的,應當及時將有關資訊按照規定的內容要素和格式提交至工業和資訊化部和相關省、自治區、直轄市通訊管理局”的規定,阿里雲有義務報告這一漏洞。
“根據工信部網路安全管理局的通報,阿里雲發現阿帕奇Log4j2元件存在遠端程式碼執行漏洞。不論是在其自身的產品中涉及這一元件,還是在研發中發現這一元件存在漏洞,都有向工業和資訊化部建立網路安全威脅資訊共享平臺報告的義務。尤其是,阿里雲還是該共享平臺的合作單位。”王新銳介紹。
但王新銳也指出,從這次通報的情況即“暫停作為合作單位6個月,期滿繼續恢復”這一角度來看,這並非是依據Log4j2漏洞對其作出的行政處罰,所以也要判斷阿里雲“是否作為產品提供者而發現的這一漏洞”。
“阿里雲這次若是在自身產品中用到了這個元件,其上報的義務就比較高;若不是,那根據目前法律規定,只是鼓勵上報,沒有強制,”王新銳總結,“當然,這主要還是基於對公開資訊的分析。考慮到這一漏洞的綜合評級是“高危”,及時向境內主管機構報告,是《網路安全法》及其配套規則的應有之意。”
業內普遍認為,此次規制是監管方對國內網路安全界的一次警示。
“仔細想想,處罰得並不重,沒有徹底把阿里雲剔出‘網路安全威脅資訊共享平臺合作單位’,只是暫停6個月;也沒有對個人進行行政處罰或警告。”前述搜尋引擎工程師表示,“但這無疑是一次警告,讓所有從業者心中有規則,做事不逾矩。”
每天只需一塊錢,
第一時間掌握全球資料法資訊!
掃碼立即加入“何淵資料合規俱樂部”!
DCLC中國資料合規律師俱樂部籌備群
資料合規,合則生,不合則亡!
歡迎掃碼加入我們
點選“閱讀原文”,立即報名DataLaws合規學院全部課程!
