作者 | 李扬霞
编辑 | 林觉民
12月22日上午,一则阿里云被暂停其工信部网络安全威胁信息共享平台合作单位身份,为期6个月的消息,在网上疯传。
据工业和信息化部网络安全管理局通报称,阿里云因在发现阿帕奇Log4j2组件重大安全漏洞后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。被暂停其工信部网络安全威胁信息共享平台合作单位身份,为期6个月。
网络安全管理局表示,暂停期满后,根据阿里云公司整改情况,研究恢复其上述合作单位。
自12月9日夜间Log4j 2漏洞发现以来,受到业内外的极大关注,一位网友表示,“以前不关注网络安全领域都对这一漏洞有所了解。”
一位安全专家表示:“从Log4j2漏洞披露以来,基本上震动全民,不管是安全从业者,还是安全爱好者抑或是做黑产、做勒索的黑客,基本上彻夜不眠,行动不断。"
众所周知,Apache Log4j是被全球广泛应用的组件,其漏洞影响范围波及全球堪比“永恒之蓝”漏洞,利用复杂度低,一旦利用成功,可能导致设备远程受控,进而引发敏感信息窃取、设备服务中断等严重危害,造成的危害和损失不可预估。
据相关媒体报道称,比利时国防部网络最近受到不明攻击者的成功攻击,攻击者利用Apache日志库log4j的巨大漏洞实施攻击。
不仅是政府,还有企业也是攻击的对象,只要使用JAVA开发的基本上都会受到影响。同时个人用户受到攻击的案例也已经出现。《我的世界》JAVA版游戏前几天被监测出大量黑客利用Apache Log4j 2漏洞攻击个人用户。
Log4j 2影响的后果逐渐显现。
1.阿里云被“以身试法”了吗?
一位业内人士表示:“按照业内漏洞披露的周期,整个流程应该是,先报给厂商,厂商根据漏洞影响度,在相应的时间提供一个解决方案,然后10天、 45 天或者 90 天,然后厂家提供了解决方案以后,才会出一个漏洞通告。”
【 log4j|阿里云都被责令整改了,Log4j2漏洞惹出的乱子何时休?】这次Log4j 2漏洞的特殊就在于它本身是一个开源的软件。没有给修复时间就被疯狂转发,因为开源软件修复代码是公开的,而修复代码里面一部分就是测试代码,而测试代码就是用来检查修复是否正确,整个过程相当于是公开的,基本上就等于公开了漏洞原理和攻击方式。
自阿里云12月9日将漏洞报告给Apache,Log4j 2漏洞也开始逐渐发酵。
而自2021年9月1日正式施行的《网络产品安全漏洞管理规定》:不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息。认为有必要提前发布的,应当与相关网络产品提供者共同评估协商,并向工业和信息化部、公安部报告,由工业和信息化部、公安部组织评估后进行发布。
同时该规定明确相关企业要接受至少4家的管理检查,分别是 国家互联网信息办公室、工业和信息化部、公安部和有关行业主管部门;同时企业应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。
《网络产品安全漏洞管理规定》第三条规定 国家互联网信息办公室负责统筹协调网络产品安全漏洞管理工作。工业和信息化部负责网络产品安全漏洞综合管理,承担电信和互联网行业网络产品安全漏洞监督管理。公安部负责网络产品安全漏洞监督管理,依法打击利用网络产品安全漏洞实施的违法犯罪活动。有关主管部门加强跨部门协同配合,实现网络产品安全漏洞信息实时共享,对重大网络产品安全漏洞风险开展联合评估和处置。
据了解,12月9日,工业和信息化部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告,阿帕奇Log4j2组件存在严重安全漏洞。工信部立即组织有关网络安全专业机构开展漏洞风险分析,召集阿里云、网络安全企业、网络安全专业机构等开展研判,通报督促阿帕奇软件基金会及时修补该漏洞,向行业单位进行风险预警。
- 酷睿处理器|关键数据出炉,京东比阿里差远了
- 芯片|上市仅4个月,跌价1000元,微云台主摄+6nm芯片+4400mAh
- 计算|雄安城市计算(超算云)中心主体结构封顶
- 百度|马化腾的一句话,腾讯市值一小时暴涨1400亿港币,马云格局还是小了
- 封顶|雄安新区:城市计算(超算云)中心提前完成主体结构封顶
- 封顶|雄安新区:城市计算(超算云)中心提前完成主体结构封顶
- CPU|阿里反贪第一人蒋芳,入职23年将7名高层送入狱,连马云都可以查
- 增资|撤离、暂缓!马云没有想到,蚂蚁融资生变,原因浮出水面
- 阿里巴巴|社区团购是互联网巨头的宝地,美团拼多多发展强劲,阿里坐不住了
- 阿里巴巴|被苹果无辜“踢出局”,引发央视点名,国产制造该何去何从?