“计算机史上最大漏洞”砸中了阿里云

出品｜虎嗅科技组

作者｜张雪
封面｜CFP
12月22日下午，据中国日报报道，工信部相关人士向其记者确认，因发现严重漏洞未及时报告，阿里云计算有限公司（阿里云）被暂停工信部网络安全威胁信息共享平台合作单位6个月。
对于“暂停”原因，工信部也做了相关通报：
　　

阿里云发现阿帕奇（Apache）Log4j2组件严重安全漏洞隐患后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理。

通报指出，阿里云是工信部网络安全威胁信息共享平台合作单位。经研究，工信部网络安全管理局决定暂停阿里云作为上述合作单位6个月。暂停期满后，根据阿里云整改情况，研究恢复其上述合作单位。
此外，有微博网友指出里面在这个漏洞发现和处理的过程中，阿里云有多重身份，它同时涉及了《网络产品安全漏洞管理规定》里的：网络运营者，从事漏洞发现、收集、披露等活动的组织或个人，网络产品安全漏洞收集平台。
在从事漏洞发现、收集、披露等活动的组织或个人身份下，阿里云首先发现了漏洞，是漏洞发现的组织。这个身份的义务是按规定规范流程来公开漏洞，且不能报送给除产品提供者 （这里是 Apache）的境外组织，阿里云遵守了作为漏洞发现组织的流程和义务。
作为网络运营者，阿里云提供的网络服务可能使用了Log4j2，从而出现安全漏洞。阿里云这个身份的义务是立即采取措施，及时对安全漏洞进行验证并完成修补。理论上讲，阿里云也较好地完成了这个身份的义务。
而根据《网络安全法》，网络服务方发现其网络产品、服务存在安全缺陷漏洞应当按照规定及时向有关主管部门报告。对于这条，阿里云可能有违规行为。
同时，由于阿里云又是网络产品安全漏洞收集平台，也是工信部网络安全威胁信息共享平台合作单位。在该身份下，阿里云“未有效支撑工信部开展网络安全威胁和漏洞管理”，而这一点则是阿里云这次被处罚的关键。
据公开资料，阿里云11月24日就发现了上述漏洞，而这个漏洞被认为可能是“计算机历史上最大的漏洞”，随后其率先向阿帕奇软件基金会（即软件的运维方）披露了该漏洞，但并末及时向工信部通报相关信息。
随后，奥地利和新西兰官方的计算机应急小组率先对这一漏洞进行预警，而中国工信部是在收到网络安全专业机构报告后，才发现阿帕奇Log4j2组件存在严重安全漏洞。
其实，在22日一早，阿里云就曾登上热搜，讨论度也是居高不下。而在这场讨论中，大致可以分为两个阵营，其一，有部分人认为，从技术的角度出发，阿里云做法不能算错。其二，另一部分人认为，阿里云未能履行合作要求，处罚过轻。
对于这两种观点，我们不做任何评价，本文只是探讨该漏洞到底是什么，为何危害如此严重。
据悉，Log4j是被广泛应用在服务器上的软件，Log4j2组件漏洞影响了许多云服务，涉及到政务部门和大多数企业。相关研究表明，93%的云环境都存在漏洞风险，尽管现在有45%的易受攻击的云资源已被修补。
据一位程序员朋友称，从12月10日以来，他们整个公司都在改Log4j2组件的Bug，他后来又补了一句称，应该是所有公司都在改这个Bug。原因在于，Log4j这个库太基础，应用太广，所以影响了很多公司。
另一位开源行业从业者也无奈表示，谁也想不到那么基础，用的那么多的一个库会有这么严重的漏洞。
相关文件指出：“该漏洞可能导致设备远程控制，可能导致敏感信息被盗、设备服务中断等严重危害。这是一个高风险的漏洞”。
通俗来讲，这个漏洞允许网络犯罪分子未经许可在系统上运行恶意代码，然后接管组织的整个服务器，也相当于我们把自己家的钥匙给了路人。
在微软此前对该漏洞也发出了警告，它指出 Log4j2的双管齐下问题是一个缺陷，其中包括轻松利用其漏洞的能力以及基于它构建的产品数量。Apache Log4j2是当前使用的最流行的Java 日志库之一。
具体来说，日志库用于为开发人员提供有关服务和产品的附加信息，让他们控制在应用程序执行期间或用户登录特定服务或设备的错误报告或功能问题时收集的数据量。
使用日志库时，开发人员可以深入了解或收集有关设备的信息，包括 CPU 类型、GPU 型号、驱动程序版本、系统内存等。
对于这个漏洞的影响，如果用一个比喻来形容，可以说是软件行业的“新冠病毒”。
据网络安全公司Check Point称，迄今为止，Log4j在GitHub项目的下载量已超过400000次。更糟糕的是，它被全球多数的流行公司使用，其中不仅包括微软，还包括Twitter、苹果、亚马逊、百度、网易等。
我们知道，开源软件的全球化和开放共享的特性使得任何一个非常底层和基础的开源组件的漏洞都有可能像一个新冠病毒一样快速传播，对全球的数字化产业带来无法估量的影响。而这种影响的持续时间可能是3～5年，甚至更长。
与此同时，由于Log4j属于开源软件，所以关于开源软件安全性这种老生常谈的话题又被摆在了明面上。
不过大部分人认为，“所有软件，无论是开源的还是闭源的，都存在潜在的网络安全漏洞。我们现在才知道如何将检测和修复。而开源安全基金会的项目都是有小团队进行维护的，并得到了技术供应商的强力支持。”
值得庆幸的是，这个漏洞虽然很大，但一般来讲要执行命令，还会有其他验证。也正是如此，现在还没有造成巨大损失的案例出现。
但也有专业人士指出：“在未来几周和几个月内，该漏洞引发勒索软件攻击的可能性“非常高”，这只是时间问题。”
一个值得注意的事实是，当前市面上已经出现了两个针对Log4j漏洞的勒索软件，其中一个更是早期主要针对中国，现在已将范围扩大到了美国和欧洲。
有高级安全研究员表示：“中国的系统以及一些托管在美国和欧洲多个站点的亚马逊和谷歌云服务中的系统都成为了目标。”
另外，业界普遍认为该漏洞并不难修补，到目前为止，Apache 已经发布了一个修复程序，该修复程序应该涵盖所有受影响的日志包版本。
“软件是一版一版的发布，出问题的是老版本，新版已经改掉了，所以只要把之前引用的老版改成新的就可以了。”上述程序员朋友谈到。
不幸的是，每家公司都以不同的方式实施Log4j，而且他们应用修复的速度仍然可能使数百万客户的数据暴露。

---