阿里云漏了一个“洞”

撰文 / 《财经天下》周刊作者 康嘉林
编辑 / 游勇
阿里云因为一个安全漏洞，被推到了风口浪尖。
起因是11月24日，阿里云安全团队向美国开源社区Apache（阿帕奇）报告了一条安全漏洞。这是一条Log4j2远程代码执行（RCE)漏洞，全球各地的安全机构都已发出了警告。
这原本只是一个小圈子内的事情，但随着事态扩大，阿里云在这过程中的处置方法遭到了质疑。阿里云把这个安全漏洞报告给美国阿帕奇后，并没有及时向国家工信部报告。直到15天后，工信部才知晓，并立即组织了有关网络安全专业机构开展漏洞风险分析，向行业单位进行风险预警。
据中国日报报道，因为没有及时向电信主管部门报告信息安全漏洞，工信部网络安全管理局最终决定，暂停阿里云作为上述合作单位6个月。暂停期满后，根据阿里云整改情况，研究恢复其上述合作单位。
不过，工信部网站只发布了风险提示，并没有对阿里云进行相关处罚的通报。“因为是暂停合作，并非行政处罚。”据一位知情人士透露。
在行业人士看来，阿里云的做法符合之前的行业规范，但从今年开始，对于国内从事网络安全的企业和人员提出了更多的要求。阿里云被处罚一事也在警示着大家：在信息安全面前，国家利益大于一切。
“核弹级”的漏洞
“Log4j2安全漏洞的影响面特别大。”林默声（化名）对《财经天下》周刊说，他是国内一位知名的网络安全专家。
Log4j2的漏洞采用的是java的一个组件，用来写日志，因为比较好用，所以被广泛采用。林默声介绍，用java开发的大部分东西都会用到Log4j的组件，所以这次出现漏洞之后，影响非常深远。
据称，攻击者可以通过这个漏洞提取敏感数据、将文件上传到服务器、删除数据、安装勒索软件、或进一步散播到其它服务器。外界甚至将这一漏洞形容为“核弹级”。一位安全领域的专家告诉《财经天下》周刊，Log4j2作为组件一般位于软件供应关系的底层，因此关于此漏洞的放大效应将逐渐显现。
11月24日，这个漏洞率先被阿里云的团队发现，并将这一信息报告给了Log4j的运营方阿帕奇基金会。
奥地利和新西兰官方的计算机应急小组率先对这一漏洞进行了预警。而后，美国国家安全局、德国电信CERT也都紧急发出了安全预警，而我国工信部也将该安全漏洞定性为高危漏洞。
12月7日，在阿里云团队发现漏洞后的两周时间，Apache官方发布了安全补丁，可并没有多大作用。
危害已经产生，勒索软件已经开始盯上了这个漏洞。而奇安信安全服务团队透露，截至12月13日，已经陆续接到10多起利用ApacheLog4j2漏洞勒索攻击的应急响应需求。其攻击源主要分布在荷兰、中国、德国、美国、奥地利等国家。目前，新西兰计算机紧急响应中心（CERT）、美国国家安全局、德国电信CERT、中国国家互联网应急中心（CERT/CC）等多国机构相继发出警告，足见该漏洞所引发的担忧与疑虑。
有关报道显示，黑客在72小时内利用Log4j2漏洞，向全球发起了超过84万次攻击。
影响还在持续，因为修补漏洞会是一个漫长的过程。官方在源代码的漏洞补上之后，引用这个源代码的所有软件还需要修复，修复之后还得让这个软件的所有客户升级才行。而这个漫长过程给攻击者留出了很大的空间。
此前，已有安全专家撰文预测，该漏洞的影响还会持续数月，届时相关的攻击和影响面才会有所减弱。
开源热潮席卷全球，纵观全球信息产业，更是呈现“得开源者得生态，得开源者得天下 ”的态势。开源最大的特点无疑是全球共享和开放属性，导致任何一个极为基础的代码漏洞都可能引发连锁的蝴蝶效应，各大互联网企业计算平台会组建安全专家进行巡逻和探针，用于发现安全漏洞。
正如奇安信的预测，ApacheLog4j2漏洞影响面大，利用门槛低，未来几天会有更多的僵尸网络、挖矿病毒、勒索软件等利用此漏洞发起攻击，其危害不容忽视。
阿里云错在哪儿？
在这件事情的处理上，阿里云的做法存在问题。由于阿帕奇软件基金会成立于美国，阿里云的问题在于，将漏洞及时报告给了美国，相反却没有向我国工信部报告，屁股坐歪了。
不过，也有业内人士提出，发现外国开源软件漏洞，向厂家反馈是正常操作。
一位程序员告诉《财经天下》周刊，业界的开源条例遵循的是《负责任的安全漏洞披露流程》，这份文件将漏洞披露分为5个阶段，依次是发现、通告、确认、修复和发布。发现漏洞并上报给原厂商，是业内常见的程序漏洞披露的做法。
2017年10月，微软发布了新一轮安全更新，修复了Office的高危漏洞(CVE-2017-11826)。黑客可以利用该漏洞，发送恶意的Office文件，用户中招后会成为被控制的“肉鸡”。
而发现该漏洞的是360安全团队。根据360的描述，360通过与微软安全团队的积极配合，火速推进了该漏洞补丁的发布，使其在发现一周内得以妥善修复。在后续的官方公告中，微软对360的贡献进行了公开致谢。
而在2018年，腾讯电脑管家安全团队也因为捕获了一例Flash 0day漏洞，并迅速上报给了Adobe官方。对方发布公告专门对腾讯表示了感谢。
2020年，腾讯安全团队向Linux社区提交了两个Linux X.25套接字漏洞，该漏洞的风险等级高，攻击者利用漏洞可能控制整个系统。这些漏洞尚未被修复时，腾讯已将漏洞细节按Linux社区规则予以公开披露。
而且，林默声对《财经天下》周刊透露，把漏洞报给原厂商而不是平台方，也会有潜在的好处。包括微软、苹果和谷歌在内的厂商对报告漏洞的人往往会有奖励，“最高的能给到十几万美元”。
更重要的是名誉奖励。几乎每一家厂商对第一个报告漏洞的人或者集体，都会公开致谢。“对于安全研究人员而言，这种名声也会非常在意。”林默声说，获得厂商致谢的次数，也是网络安全行业的研究人员比拼的东西，“你今年得到了5次致谢，我得到了10次，我就比你牛”。
另外，“咱们的漏洞平台又修复不了，这就是为什么要报给原厂商。”林默声说。
但是，除了行业规则，国家相关部门在今年有了新的规定。2021年7月，工信部、网信办和公安部联合下发的《关于印发网络产品安全漏洞管理规定的通知》中规定，发现或者获知所提供网络产品存在安全漏洞后，应当立即采取措施并组织对安全漏洞进行验证，评估安全漏洞的危害程度和影响范围；对属于其上游产品或者组件存在的安全漏洞，应当立即通知相关产品提供者。
该通知同时规定，发现漏洞后，还应当在2日内向工信部网络安全威胁和漏洞信息共享平台（CNVD）报送相关漏洞信息。
上述安全专家猜测，工程师一般本着解决软件漏洞的思维，重点放在解决技术问题上，对于上报、政策等环节或许没有经验，但此次事件反映出云计算厂商还需增强在安全漏洞方面的敏感度。
“过去这么多年的规矩都是这样的，阿里云也是按照老黄历来办事的，只不过现在的政策有不同的要求了，大的形势也不一样了。”林默声说，“阿里云不见得是有意为之。”
“阿里云这次如果是两边同时报了会好一点，或者时间差不要这么大。”林默声说，国内还是通过外媒的炒作才知道有这么一个漏洞。
在复杂的国际形势下，阿里云的做法显得非常不合时宜。“隔壁是仇家，你告诉仇家你的门没关好，你啥意思？而且不仅仅是涉及他们家的门，我们家也用了这个门，你是不是应该先告诉自己家？”林默声打了个比方，这个漏洞不仅仅是原厂商的问题，也与国内利益息息相关。客观上，攻击者可以利用这个漏洞修补的间隙来攻击国内的基础设施。
但也有分析认为，阿里云起初并没有意识到这个漏洞的严重性。这一点从阿里云官方声明中也能得到核实。“在发现该安全bug后，按业界惯例以邮件方式向软件开发方Apache开源社区报告这一问题并请求帮助。因在早期未意识到该漏洞的严重性，未及时共享漏洞信息。”
从示范到示警
阿里云作为国内最大的云计算公司，此前一直是其他云计算公司学习的对象。
今年，阿里云迎来了自己的第三个盈利季度，是第二家宣布盈利的行业选手，而第一家是亚马逊的AWS。十年间，尽管云计算行业从小众走向辉煌，但亏损难题一直是云企内部的心病，如鲠在喉。
一直以来，国内云计算发展重心根植于重资产的IaaS而非高毛利的SaaS产品，重资产意味着高投入，马云十年前内部讲话的那句“每年投10亿，投个10年，做不出来再说”尤在耳畔，云计算堪比碎钞机，能否盈利？起码在国内是一个没有无解的题目。
现在，阿里云的盈利成绩单给出了解题思路，一位业内人士告诉《财经天下》周刊，阿里云摸着石头过河，其他厂商摸着阿里云过河。
脚踩着坚硬石头，阿里云将云和钉钉打通为一体，将云的基础能力通过钉钉呈现给企业用户，提高业务数字化效率，这种模式也曾是微软切入云的重要工具，凭借Azure云+Teams组合拳，微软在云计算行业中崛起并缩小了与AWS的差距。
如今有样学样，阿里云在云上构建中台、数据中心等基础设施，落地则由钉钉的应用执行，直接调用云上工具。在企业寻求数字化转型时，可以通过这套流程直接购买大型系统，再适配企业间的具体业务模块，用低代码开发应用，直接上云。
在今年举行的云栖大会上，《财经天下》周刊独家获悉，阿里云内部再一次组织梳理与升级，云钉一体后，平头哥与云智能、达摩院部门实现平级。平头哥是阿里巴巴旗下芯片公司，由达摩院和中天微共同成立，原本是阿里达摩院旗下组织，达摩院被视作是阿里内部的“核高基”项目组，其下设语音、视觉、智能计算、量子等多个实验室，是主攻前沿技术的机构平台。
这体现了平头哥、达摩院和云计算在技术上分层、协同的状态，平头哥从底层芯片提供弹性、通用资源，相当于云的底座；达摩院在上层提供数据化、智能化的可能性。
过去十年，云计算属于技术人员，未来，云计算将横向拓展至非互联网企业的生态中，将有更多非技术性传统企业知道如何用云，这是阿里云探索出的云方向，这一趋势或将给中国云市场带来更多的利润空间。
云作为一种商业模式，在中国市场终于“跑通”了基础逻辑，开始变现。可以说，此时此刻，阿里云的一举一动都对行业起着示范效应。
但这次的漏洞披露事件，则是一次警醒，作为头部的云计算企业需要更严苛的标准要求自己。
今年年中，浙江省通信管理局通报阿里云未经用户同意擅自将用户留存的注册信息泄露给**合作公司，自查后的阿里云称是内部电销员工违反纪律，潦草盖过质疑声。
《财经天下》周刊获悉，相比大众的质疑声浪，行业内部的整顿从上周末便已开始。一家小型云计算的企业负责人何野（化名）说，上周五，先是召集了主力工程师打补丁，内部评测的结果是漏洞的挖掘难度不是非常大。本周公司会再梳理一遍流程制度，用于程序员培训。
如果业务体量不大，对于上报流程和政策解读确实会有所缺失。这则事件确实敲响了警钟，不能低估影响面，“有些事不上秤没有二两重，一上秤一千斤也打不住。”何野击中了问题的要害，“这种问题，早发现、早解决，对阿里云和其他网络安全威胁信息共享平台成员都是有益的。”
本文由《财经天下》周刊旗下账号AI财经社原创出品，未经许可，任何渠道、平台请勿转载。违者必究。

---