“超级漏洞”影响全球数亿设备 阿里云未向工信部预警被罚

“超级漏洞”影响全球数亿设备 阿里云未向工信部预警被罚

图源:东方IC

30秒快读

1

工信部决定暂停阿里云作为工信部网络安全威胁信息共享平台合作单位6个月,这则处罚通知背后,是一个堪比“永恒之蓝”的“超级漏洞”。

2

这个“超级漏洞”影响服务器可达数亿台,亚马逊、NSA、谷歌、苹果、Steam、推特等大型互联网公司均可能受其影响。

3

相当于“互联网破了个洞”,安全圈“地震”了,阿里云未向工信部预警被罚。

最近,一则处罚通知在白帽子圈“刷屏”。


这则落款为工信部网络安全管理局的通报显示,阿里云计算有限公司(简称阿里云)发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理,经研究,工信部网络安全管理局决定暂停阿里云作为工信部网络安全威胁信息共享平台合作单位6个月。

“超级漏洞”影响全球数亿设备 阿里云未向工信部预警被罚

这则通报让一个已搅动安全圈半个月的“超级漏洞”呈现在世人面前。


据《IT时报》记者了解,阿帕奇漏洞危害堪比“永恒之蓝”,影响服务器可达数亿台,亚马逊、NSA、谷歌、苹果、Steam、推特等大型互联网公司均可能受其影响。同时,黑产已蠢蠢欲动,一些利用阿帕奇漏洞注入勒索病毒的攻击已经开始,如比利时国防部已确认,因遭遇 Apache Log4j 攻击,部分计算机网络处于瘫痪状态。

01

危害堪比“永恒之蓝”

“互联网破了个洞。”一家安全媒体对此次Apache Log4j 漏洞的影响如此定义。


根据工信部12月17日发布的《关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示》介绍,阿帕奇(Apache)Log4j2组件是基于Java语言的开源日志框架,被广泛用于业务系统开发,被发现的漏洞是远程代码执行漏洞,该漏洞可能导致设备远程受控,进而引发敏感信息窃取、设备服务中断等严重危害,属于高危漏洞。


“攻击者仅需一段代码就可远程控制受害者服务器。”据奇安信相关人士介绍,该漏洞利用方式十分简单,不需要用户执行任何多余操作即可触发该漏洞,90%以上基于java开发的应用平台都会受到影响,这意味着几乎所有行业都会受到该漏洞影响,包括苹果、三星、Steam等在内的全球知名科技公司和电商网站的云服务都可能受到影响。


阿帕奇软件基金会将这一漏洞的严重性列为最高,有专家表示,漏洞波及面和危害程度均堪比 2017年的“永恒之蓝”漏洞。当年,黑客团体公布了大批包括“永恒之蓝”在内的网络攻击工具,之后又有黑客将“永恒之蓝”改造成wannacry勒索病毒,一旦用户进行网络连接,不需要做任何操作就可以令攻击者植入远程控制木马、勒索软件、虚拟货币挖矿机等恶意程序。“永恒之蓝”的发生,对全球大型企业、机构政府产生了灾难性的打击。

“超级漏洞”影响全球数亿设备 阿里云未向工信部预警被罚

图源:东方IC

基于Apache Log4j漏洞而被攻击的公司会受什么影响?一位白帽子悲观地向《IT时报》记者表示,黑客可利用该漏洞直接获得目标机器的最高权限(root权限),一旦服务器被攻击,基本等于“房门大开”,所有“坏结果”都可能产生。更糟糕的是,这个漏洞是0day漏洞(零日漏洞),也即被发现时,官方还没有相关补丁,如果被黑产抓住时间差发起进攻,往往会有很大的突发性和破坏性。


12月9日消息传出后,安全圈“地震”,据说有安全人员被连夜叫回公司加班开发解决方案。


与此同时,黑客集团也在和白帽子赛跑。据奇安信介绍,12月9日深夜,仅一小时便收到白帽子提交的百余条该漏洞信息,到第二天10日中午12点,已发现近1万次利用该漏洞的攻击行为。

02

阿里云预警迟到被处罚

阿里云被罚,应该是《网络产品安全漏洞管理规定》(以下简称《规定》)实施后,第一起根据新规执行的安全事件。”一位白帽子告诉记者。


今年7月13日,工信部、国家互联网信息办公室、公安部联合发布《网络产品安全漏洞管理规定》,对漏洞的发现、报告、修补和发布等行为做了明确规范,《规定》与《数据安全法》一起于9月1日起施行。


《IT时报》记者查阅《规定》发现,其中第七条写明:网络产品提供者发现或者获知所提供网络产品存在安全漏洞后,应当立即采取措施并组织对安全漏洞进行验证,评估安全漏洞的危害程度和影响范围;对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品提供者。同时,应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台(以下简称平台)报送相关漏洞信息。

“超级漏洞”影响全球数亿设备 阿里云未向工信部预警被罚

图源:工信部

从此次漏洞被引爆的时间轴上看,早在11月24日,阿里云的一名程序员发现了这一漏洞,并通知了开发Log4j2组件的公司阿帕奇,但并没有根据《规定》在2日内向工信部平台报送相关信息。


随后,阿帕奇软件基金会位于奥地利和新西兰的官方计算机应急小组,开始对该漏洞展开追踪,并率先发布了相关问题的全球预警。


中国官方得到的消息应该是12月9日-10日。工信部网络安全管理局《关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示》中提到,12月9日收到有关网络安全专业机构报告。


《IT时报》记者从国家互联网应急中心发布的一则公告上则看到,12月10日,国家信息安全漏洞共享平台(CNVD)收录了Apache Log4j2远程代码执行漏洞(CNVD-2021-95914),目前,漏洞利用细节已公开,阿帕奇官方已发布补丁修复该漏洞。CNVD建议受影响用户立即更新至最新版本,同时采取防范性措施避免漏洞攻击威胁。

“超级漏洞”影响全球数亿设备 阿里云未向工信部预警被罚

然而,此时距离第一次发现漏洞已经过去半个月。

03

“挖”漏洞合规更重要

“国家对网络漏洞管理进行强监管的背景是,关于网络安全的黑白之争越来越激烈。”在一位安全界人士看来,阿里云此次被罚并不冤,作为中国最大的云服务商,合规意识如此薄弱,的确不应该。


近两年来,发生在安全领域的攻击事件呈直线上升的态势,甚至在全球范围内出现几个规模化、组织化的黑客勒索组织。今年5月,迫使美国最大的成品油管道运营商Colonial Pipeline关闭了一条关键的运输管道的勒索病毒袭击,便来自一家名为“暗面”(DarkSide)的组织。

“超级漏洞”影响全球数亿设备 阿里云未向工信部预警被罚

图源:每日邮报

这些黑客组织嗅觉灵敏,不但研发软件、培训“下线”,甚至还将勒索袭击当做一门生意运营,专门针对一些重要公司进行定向、高索赔额的病毒攻击。


Apache Log4j2漏洞被公开后,网络安全公司Crowdstrike高级副主席迈耶斯(Adam Meyers)便曾表示,截至美国时间12月10日,黑客已经将漏洞“完全武器化”,还开发出利用该漏洞的攻击工具向外分发。

“超级漏洞”影响全球数亿设备 阿里云未向工信部预警被罚

图源:东方IC

据上述安全界人士介绍,网络安全公司报告漏洞的传统做法是先通知厂商,然后等厂商打好补丁后,再向社区公开,让所有使用该产品的企业及时修复漏洞。但从发现漏洞到打好补丁之间毕竟有时间差,很容易被黑客借此打个“闪电战”。尤其是开源软件,有些程序员习惯性地在开源社区内讨论一些细节,也有可能在不知不觉中被黑客找到机会。尤其像Log4j2组件漏洞这样的普遍性问题,由于涉及面太广,很难确保这条传统路径可以将信息传递给所有客户。


近两年来,各个国家对于网络、数据安全越发重视,各种相关法规条例相继出台。和《规定》一样在今年9月1日实施的《数据安全法》第29条也规定:数据处理者发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。


“无论是安全公司还是云服务商,都应该将这些法规细化为可执行的操作规范,固定下来,但这种合规性要求,对于不少‘草莽’起家的民营白帽子公司是个全新领域,需要好好琢磨。”一位白帽子透露,阿里云被处罚后,公司一直在讨论如何在合规前提下,为客户提供及时有效的安全服务,甚至在考虑转型做一些相对模式较“重”的安全防御,在发现漏洞并上报的时间差里,先第一时间阻断攻击路径,“只是成本肯定会因此上升。”

作者/IT时报记者郝俊慧

编辑/钱立富挨踢妹

排版/季嘉颖

图片/工信部 每日邮报 东方IC

来源/《IT时报》公众号vittimes

上一篇:SiPC 2021 | 华为谢耀辉:从数通应用看硅光的现在与未来
下一篇:噩耗传来,又一运营商领导不幸去世……

相关推荐

售价8988元起,华为首款纵向折叠屏手机P50 Pocket发布;阿里云回应漏洞风波;Python 3.6生命周期中止|极客头条

售价8988元起,华为首款纵向折叠屏手机P50 Pocket发布;阿里云回应漏洞风波;Python 3.6生命周期中止|极客头条

123 CSDN

「极客头条」——技术人员的新闻圈!CSDN的读者朋友们早上好哇,「极客头条」来啦,快来看今天都有哪些值得我们技术人关注的重要新闻吧。整理|梦依丹出品|CSDN(ID:CSDNnews)一分钟速览新闻点!阿里云回应开源社区Apachelog4j2漏洞:提升合规意识雷军详解小米12自研屏幕技术:获得15项新纪录售价8988元起,华为发布首款纵向折叠屏手机P50P

阿里云回应未及时共享漏洞信息 将提升合规意识

1792 经济观察报

经济观察网记者周应梅12月23日,阿里云通过官方微信公号发布了一个声明,阿里云一名研发工程师发现阿帕奇Log4j2组件漏洞后,阿里云因在早期未意识到该漏洞的严重性,未及时共享漏洞信息。阿里云表示,将强化漏洞管理、提升合规意识。此前,有报道称阿里云发现安全漏洞后未及时向电信主管部门报告,被工信部网络安全管理局通报,暂停其作为工信部网络安全威胁和漏洞信息共享平台

我们只看到滴滴、阿里被监管,却没看到背后的职业机会

我们只看到滴滴、阿里被监管,却没看到背后的职业机会

1573 人力资源管理

编辑:人力君如今这个时代,真的是不进则退,行业趋势变化飞快。职场话语权,往往取决于接受新事物的速度。这不,刚加强企业合规管理,毫无合规经验的巨头纷纷乱了阵脚,不到半年,股价集体腰斩。企业合规出问题,就会面临巨额罚款。2020年,阅文、丰巢等被处罚,打响企业合规管理第一枪;2021年4月,市场监管总局公布阿里巴巴反垄断调查,合计处罚金182.28亿;2021年

多家「互联网巨头」被监管背后,我看到了普通人逆袭的职场机会

1919 MBA智库

如今这个时代,真的是不进则退,行业趋势变化飞快。职场话语权,往往取决于接受新事物的速度。这不,国家刚加强企业合规管理,毫无合规经验的巨头纷纷乱了阵脚,不到半年,股价集体腰斩。企业合规出问题,不是巨额罚款就是坐牢:2020年,阅文、丰巢等被处罚,打响企业合规管理第一枪;2021年4月,市场监管总局公布阿里巴巴反垄断调查,合计处罚金182.28亿;2021年7月

工信部暂停阿里云合作资格;马斯克:超 2000 亿美元财富完全透明;世界第一条短信 NFT 被 9 万英镑拍下|极客早知道

工信部暂停阿里云合作资格;马斯克:超 2000 亿美元财富完全透明;世界第一条短信 NFT 被 9 万英镑拍下|极客早知道

1642 极客公园

未及时通报网络安全漏洞,阿里云工信部合作资格被停半年监管部门12月22日暂停阿里云公司作为工信部网络安全威胁信息共享平台合作单位的资格6个月。此前,阿里云在发现一款基于Java语言的开源日志框架组件严重安全漏洞隐患后,未及时按程序向工信部报告。今年11月24日,阿里云安全团队发现阿帕奇Log4j2组件存在远程代码执行漏洞,并将漏洞情况告知阿帕奇软件基金会。但

盘点:Log4j 漏洞带来的深远影响

盘点:Log4j 漏洞带来的深远影响

14 E安全

上周,Log4j漏洞颠覆了互联网,影响是巨大。攻击者也已经开始利用该漏,到目前为止,Uptycs研究人员已经观察到与coinminers、DDOS恶意软件和一些勒索软件变种相关的攻击,这些攻击积极利用了此漏洞。未来几天勒索软件攻击的规模可能会增加。由于该漏洞非常严重,因此可能还会发现一些可以绕过当前补丁级别或修复程序的变体。因针对这种攻击持续监控和强化系统是

阿里云再遇风波,云服务安全还是首要责任

543 经济观察报

经济观察网记者周应梅12月22日,阿里巴巴(9988.HK)当日开盘股价高涨后,呈现回落。当天,阿里巴巴开盘一度涨超5%,收盘涨幅回到0.88%。此前的12月17日,工信部曾发布阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示,该高危漏洞由阿里云发现。经济观察网记者就此事最新情况采访阿里云,截至发稿未收到回复。云服务企业要把关的安全风险“累计

私房话

“他最近抑郁了?原来只是出轨了。”|恋爱里的小丑竟是我自己。

324 曲玮玮

我发现了一个规律,女生总是喜欢在爱情里自我感动。为什么很多女孩明明被渣却不自知,还沉浸于自己编造的甜蜜爱情里?就是因为她们的脑补能力太强,有着莫名其妙的同情心,和异常强大的同理心。男朋友犯了某个错误,正在想道歉理由时,女生已非常懂事的为他找好了借口。然后自我感动到:“唉,我真是太善解人意了,他一定会更爱我的吧?”女生啊,有时候一个人就可以完成一场恋爱,她们就

私房话

真的,谈恋爱哪有杀老公好看

1019 八卦电影

大雨,深夜,一个男人跌跌撞撞走在街头。他不断摔倒在地上,身上带着血,满身都是泥污。他喃喃自语,见人就说——帮帮我,帮我杀了我妻子吧!不管你要多少钱,我都愿意!旁边的人觉得这就是个疯子,都不予以理会。看到没人理会,这个男人疯狂地大声喊,“救救我!怎么才能杀了我妻子.....”什么样的深仇大恨,让他做出这么变态的选择?《出轨的话就死定了》2020年开头出现的这个

私房话

我的2020年终总结,全在这些表情包里了

1511 每日豆瓣

我的工作我的思绪我的想法收到工资前的我收到工资后的我从前面对傻缺甲方的我现在面对傻缺甲方的我我的副业我的生活我的学习我的考试我的年度计划完成情况我的周末我的运动我的身材我的脸皮我的头发我的运气我的性格我的友情我的爱情我的技能我的心态我的假期从前和别人吵架的我现在和别人吵架的我我的饭量网购前的我网购后的我从前爸妈叫我相亲现在爸妈叫我相亲我向往的生活我真实的生活

私房话

不管夫妻还是情人,关系再好,也不要伸手要这三样东西!

1811 商界管理圈子

阅读本文前,请您先点击本文标题下面的蓝色字体“商界管理圈子”再点击“关注”,这样你就可以继续免费收到文章了,每天早上7:00准时分享,请放心关注.............................................在感情的世界里,伸手要和主动给,完全是两回事。如果一个人真的爱你,无需你开口,对方就会主动给你。倘若你开口提了,伸手要了,意义

私房话

人到中年,遇上灵魂伴侣,是劫不是缘

1451 阅世悦人

来源|精彩女人(ID:jcnv365)文|十七朵呀草在结他的种子,风在摇他的叶子,我们站着,不说话,就很美好。我们来这世上走一遭,如果能遇到一个心意相通,相知相爱的伴侣相守一生,是一件非常幸福的事。关于灵魂伴侣,每个人在单身的时候都曾有过美好的幻想。然而,有太多人误解了灵魂伴侣的真正含义。多少人得陇望蜀,缘木求鱼,到最后也没有好好珍惜已经得到的,却一辈子都对

私房话

“不结婚就死给你看!”30岁女子遭母亲逼婚,生完孩子后她母亲后悔了……丨天亮说早安

1733 湖北经视

朱军今年37岁,妻子刘艳30岁两人在今年年初奉子成婚刘艳怀胎十月剖腹产生下了女儿女儿现在已经三个多月了然而两人从相识到现在一年多的时间真正在一起生活的日子不过两个多月更不正常的是有了婚礼,有了孩子妻子却不愿领证不愿回两人的家妻子刘艳说举行婚礼前恰逢他的生日正好可以领取结婚证成为结婚纪念日可是朱军却提出日子要有父母决定拒绝了刘艳的提议之后又因诸多巧合一直拖到了

私房话

爸,你早就不爱我妈了吧?

1785 青年文摘

点击上方蓝字“青年文摘”右上角“...”点选“设为星标”添加★标不再错过推送每天8点12点20点不见不散~作者:关山月来源:凯叔讲故事ID:kaishujianggushi我一直相信一句话:教育永远是从生活中习得的。最好的教育,是父母相爱;最好的家庭,是不断成长。爸,你早就不爱我妈了吧?如果孩子问你,你怎么回答?当然爱啊,要不然怎么会有你。小孩子懂什么,一边

私房话

够了,别再劝我“降低标准”了。

287 一个人Alone

很多事情凑合一下就行了你都三十岁了要求别那么高学会降低标准才是聪明人的做法......可是降低标准不就等于否定过去的自己吗?够了别再劝我降低标准了我发现,新世纪的“离谱”就是,亲戚给你介绍的对象,别说你不喜欢了,你甚至会产生世纪迷思——“在他们眼里,我真的就只配这样了吗?”比如说,我月薪好几万的朋友,被介绍了一个工作稳定薪资稳定的月入三千的男人,还被说你是打

私房话

晚安 | 感情的最高境界就是守候彼此的孤独

1263 深夜谈吃

晚安|第一千七百六十八夜来自佚名▲长按图片,保存你的晚安音乐选歌:Sake推荐理由:听听歌,早点睡。睡前谈心「感情的最高境界就是守候彼此的孤独」▼这一年就快要过去了这两天在规划着跨年的事情时想起有一年我去迷笛的音乐节一边对深夜的稿子一边摇头晃脑一晃眼时代变得面目全非,我也成长了好多能跟我分享一下你们2020年的感受么最深刻的感悟或者最难忘的记忆都可以说多长都