发现“超级漏洞”！阿里云被工信部暂停合作6个月

12月22日，阿里云被工信部暂停网络安全威胁信息共享平台合作单位6个月的消息引发业内广泛关注。

阿里云发现重大安全漏洞先报美国

11月24日，阿里云在Web服务器软件阿帕奇（Apache）下的开源日志组件Log4j内，发现重大漏洞Log4Shell，然后向总部位于美国的阿帕奇软件基金会报告。

获得消息后，奥地利和新西兰官方计算机应急小组立即对这一漏洞进行预警。新西兰方面声称，该漏洞正在被“积极利用”，并且概念验证代码也已被发布。

Apache Log4j2是阿帕奇软件基金会旗下的一款日志记录工具，是基于Java语言的开源日志框架，被广泛用于业务系统开发。阿帕奇软件基金会是专门为支持开源软件项目而办的一个非盈利性组织，总部位于美国马里兰州。

工信部通报！阿里云被暂停合作6个月

12月9日，工信部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告，阿帕奇Log4j2组件存在严重安全漏洞。工信部立即组织有关网络安全专业机构开展漏洞风险分析，召集阿里云、网络安全企业、网络安全专业机构等开展研判，通报督促阿帕奇软件基金会及时修补该漏洞，向行业单位进行风险预警。

工信部表示，该漏洞可能导致设备远程受控，进而引发敏感信息窃取、设备服务中断等严重危害，属于高危漏洞。为降低网络安全风险，提醒有关单位和公众密切关注阿帕奇Log4j2组件漏洞补丁发布，排查自有相关系统阿帕奇Log4j2组件使用情况，及时升级组件版本。

12月10日，阿里云在官网公告披露，安全团队发现ApacheLog4j2.15.0-rc1版本存在漏洞绕过，要求用户及时更新版本，并向用户介绍该漏洞的具体背景及相应的修复方案。

12月14日，国家信息安全漏洞共享平台（CNVD）发布《Apache Log4j2远程代码执行漏洞排查及修复手册》，供相关单位、企业及个人参考。据悉，Log4j2组件在处理程序日志记录时存在JNDI注入缺陷，未经授权的攻击者利用该漏洞，可向目标服务器发送精心构造的恶意数据，触发Log4j2组件解析缺陷，实现目标服务器的任意代码执行，获得目标服务器权限。CNVD对该漏洞的综合评级为“高危”。

12月22日，工信部通报，由于阿里云发现阿帕奇严重安全漏洞隐患后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理。经研究，现暂停阿里云公司作为上述合作单位6个月。暂停期满后，根据阿里云公司整改情况，研究恢复其上述合作单位。

12月23日，阿里云发布《关于开源社区Apache Log4j2漏洞情况的说明》。阿里云官方回应称，因在早期未意识到该漏洞的严重性，未及时共享漏洞信息。阿里云将强化漏洞管理、提升合规意识，积极协同各方做好网络安全风险防范工作。

“计算机史上最大漏洞”引发安全危机

2001年，软件开发者Ceki Gulcu设计出一套基于Java语言的日志库Log4j，并于不久后加入专门运作开源软件项目的非盈利组织Apache。在此后的软件迭代升级中，Apache在Log4j的基础上推出了新开源项目Log4j2，在保留原本特性的同时加入了控制日志信息输出目的地、输出格式、定义信息级别等功能，并很快因为其简易便捷、功能强大的特征，作为基本集成模块广泛应用于各类使用Java开源系统中。

有资深业内人士表示，Log4j2组件出现安全漏洞主要有两方面影响：一是Log4j2本身在java类系统中应用极其广泛，全球Java框架几乎都有使用。二是漏洞细节被公开，由于利用条件极低几乎没有技术门槛。因适用范围广和漏洞利用难度低，所以影响立即扩散并迅速传播到各个行业领域。

简单来说，就是这一漏洞可以让网络攻击者无需密码就能访问网络服务器。这并非危言耸听。美联社等外媒在获取消息后评论称，这一漏洞可能是近年来发现的最严重的计算机漏洞。

Log4j2在全行业和政府使用的云服务器和企业软件中“无处不在”，甚至犯罪分子、间谍乃至编程新手，都可以轻易使用这一漏洞进入内部网络，窃取信息、植入恶意软件和删除关键信息等。

这个漏洞在全球网络安全界掀起了一场大震荡。美国国家安全局、德国电信CERT、中国国家互联网应急中心（CERT/CC）等多国安全机构，相继发出警告。包括苹果、亚马逊、特斯拉、谷歌、百度、腾讯、网易、京东、Twitter、Steam等平台在内的服务器都证实了有被攻击的风险。

有关报道显示，黑客在72小时内利用Log4j2漏洞，向全球发起了超过84万次的攻击。利用这个漏洞，黑客们几乎可以获得无限的权利。有网友做了一个形象的比喻：“相当于获得了你家的钥匙，进去想干嘛就干嘛。”

阿里云冤不冤？

然而，阿里云在发现这个“过去十年内最大也是最关键的单一漏洞”后，并没有按照《网络产品安全漏洞管理规定》第七条要求，在2天内向工信部网络安全威胁和漏洞信息共享平台报送信息，而只是向阿帕奇软件基金会通报了相关信息。

12月10日，在阿里云向阿帕奇软件基金会通报漏洞过去半个多月后，中国国家信息安全漏洞共享平台才获得相关信息，并发布《关于ApacheLog4j2存在远程代码执行漏洞的安全公告》，称阿帕奇官方已发布补丁修复该漏洞，并建议受影响用户立即更新至最新版本，同时采取防范性措施避免漏洞攻击威胁。

在此之前，我国对网络漏洞的处理方式和流程已做出具体要求。《网络安全法》第二十五条规定：“网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。”

今年7月，工信部、国家互联网信息办公室、公安部联合发布《网络产品安全漏洞管理规定》，对网络产品提供者、运营者及信息共享平台的责任与义务提出更为详细的要求。其第七条规定，网络产品提供者在发现或者获知所提供网络产品存在安全漏洞后，应当立即采取措施并组织验证，评估其危害程度和影响范围，并在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息；对属于其上游产品或者组件存在的安全漏洞，应当立即通知相关产品提供者；对于需要产品用户（含下游厂商）采取软件、固件升级等措施的应及时告知并提供必要的技术支持。

平台方面，工信部网络安全威胁和漏洞信息共享平台同步向国家网络与信息安全信息通报中心、国家计算机网络应急技术处理协调中心通报相关漏洞信息。

近两年来，各个国家对于网络、数据安全越发重视，各种相关法规条例相继出台。同样在今年9月1日实施的《数据安全法》第29条也规定：数据处理者发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告。

“无论是安全公司还是云服务商，都应该将这些法规细化为可执行的操作规范，固定下来，但这种合规性要求，对于不少‘草莽’起家的民营白帽子公司是个全新领域，需要好好琢磨。”一位白帽子透露，阿里云被处罚后，公司一直在讨论如何在合规前提下，为客户提供及时有效的安全服务，甚至在考虑转型做一些相对模式较“重”的安全防御，在发现漏洞并上报的时间差里，先第一时间阻断攻击路径，“只是成本肯定会因此上升。”

“国家对网络漏洞管理进行强监管的背景是，关于网络安全的黑白之争越来越激烈。”在一位安全界人士看来，阿里云此次被罚并不冤，作为中国最大的云服务商，合规意识如此薄弱，的确不应该。

工信部要求开展数据安全风险信息报送

12月22日，据工信部官网消息，为加强工业和信息化领域数据安全风险信息获取、分析、研判和预警工作，及时掌握工业和信息化领域数据安全整体态势，提高数据安全风险处置能力， 工业和信息化部近日研究起草《工业和信息化领域数据安全风险信息报送与共享工作指引（试行）》（以下简称《工作指引》），并面向社会公开征求意见。

按照《工作指引》，数据安全风险信息，是指通过检测、评估、信息搜集、授权监测等手段获取的，包括但不限于数据泄露、数据篡改、数据滥用、违规传输、非法访问、流量异常等数据安全风险：

一、数据泄露，包括但不限于数据被恶意获取，或者转移、发布至不安全环境等相关风险；

二、数据篡改，包括但不限于造成数据破坏的修改、增加、删除等相关风险；

三、数据滥用，包括但不限于数据超范围、超用途、超时间使用等相关风险；

四、违规传输，包括但不限于数据未按照有关规定擅自进行传输等相关风险；

五、非法访问，包括但不限于数据遭未授权访问等相关风险；

六、流量异常，包括但不限于数据流量规模异常、流量内容异常等相关风险；

七、其他信息，包括由相关政府部门组织授权监测的暴露在互联网上的数据库、大数据平台等数据资产信息，以及有关单位掌握的威胁数据安全的其他风险信息等。

《工作指引》指出，风险信息报送，是指有关单位向工业和信息化部、地方工业和信息化主管部门、地方通信管理局报送数据安全风险信息的行为。风险信息共享，是指经工业和信息化部、地方工业和信息化主管部门、地方通信管理局审核、授权后，向有关部门、单位告知风险提示的行为。风险信息报送与共享工作坚持“及时、客观、准确、真实、完整”的原则，不得迟报、瞒报、谎报。

同时，工信部（网安局）鼓励部系统各单位、安全企业、数据处理者、科研院所、行业组织等单位开展风险信息报送，遴选支撑服务能力强、技术水平高、报送信息质量优的单位建立风险直报单位名录，并实施名录动态管理。地方工业和信息化主管部门、地方通信管理局应当组织开展本地区风险报送单位遴选、推荐等工作，建立本地区风险报送单位名录，并加强名录管理。

责任编辑：蔺弦弦