淘宝|“史诗级”漏洞未及时上报，阿里云被工信部暂停合作单位称号淘宝

文章图片

文章图片

今日多家媒体报道称，工业和信息化部网络安全管理局通报表示，作为工信部网络安全威胁信息共享平台合作单位，阿里云发现阿帕奇（Apache）Log4j2 组件严重安全漏洞隐患后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理。
经研究现暂停阿里云作为上述合作单位 6 个月，暂停期满后根据阿里云整改情况，研究恢复其上述合作单位。
在此之前的 19 日，工信部发布公告通报了阿帕奇 Log4j2 组件中的一个重大安全漏洞，这一漏洞可能导致设备远程受控，进而引发敏感信息窃取、设备服务中断等严重危害，属于高危漏洞。
【淘宝|“史诗级”漏洞未及时上报，阿里云被工信部暂停合作单位称号】彼时媒体报道显示，近日系阿里云发现阿帕奇 Log4j2 组件中存在远程代码执行漏洞，并将漏洞情况告知了阿帕奇软件基金会。

据了解， Apache?Log4j2 是阿帕奇软件基金会旗下的一款日志纪录工具， 90% 以上的 Java 开发平台都会直接或间接地使用这款工具。
正因如此，此次漏洞危险波及范围极广，覆盖了 IT 通信 ( 互联网 ) 、高校、工业制造、金融、医疗卫生、运营商等大量的行业和领域。业界将其称之为堪比 2017 年 \" 永恒之蓝 \" 的史诗级安全漏洞。
2017 年 4 月，黑客团体 Shadow Brokers 公布了一大批网络攻击工具，其中最为突出的便是 \" 永恒之蓝 \" 工具。
这款工具利用 Windows 系统的 SMB 漏洞，可以获取系统的最高权限。不法分子通过 \" 永恒之蓝 \" 工具制作了 wannacry 勒索病毒，攻击了英国、俄罗斯、整个欧洲等地区的多个高校、大型企业机构的网络系统，并向被攻击者勒索高额赎金才予以解密恢复文件。

对此有观点指出，此次被曝出的 Apache?Log4j2 漏洞，或许比 \" 永恒之蓝 \" 更 \" 好用 \" 。网络攻击者甚至只需复制粘贴一段简单的代码，然后无需执行其他操作即可触发该漏洞。
然后攻击者可以通过漏洞触发远程木马执行，进而控制受害者设备来进行窃取数据、投递勒索病毒、挖矿木马等操作，会对用户的网络和财产安全造成严重威胁。
也有消息报道称，由于 Apache?Log4j2 在各大交易所、钱包、DeFi 项目中广泛使用，攻击者几乎立即开始利用该漏洞进行非法的加密货币挖掘，或利用互联网上的合法计算资源来产生加密货币以获取经济利益，
综合多个报道信息可以发现，对于如此高危害级别的安全漏洞，阿里云虽然发现了漏洞并反馈给了软件所有方阿帕奇软件基金会，但在网络安全威胁信息共享平台的上报流程上出现了问题。

此前 Canalys 发布中国云计算市场 2021 年第三季度报告显示，阿里云、华为云、腾讯云和百度智能云依旧占据市场第一梯队，其中阿里云市场份额排名第一。
针对被暂停工信部网络安全威胁信息共享平台合作单位一事，阿里云方面尚未作出公开回应。
ZAKER 新闻出品
文 / 曾宪天