淘宝|“史诗级”漏洞未及时上报,阿里云被工信部暂停合作单位称号

淘宝|“史诗级”漏洞未及时上报,阿里云被工信部暂停合作单位称号

文章图片

淘宝|“史诗级”漏洞未及时上报,阿里云被工信部暂停合作单位称号

文章图片



今日多家媒体报道称 , 工业和信息化部网络安全管理局通报表示 , 作为工信部网络安全威胁信息共享平台合作单位 , 阿里云发现阿帕奇(Apache)Log4j2 组件严重安全漏洞隐患后 , 未及时向电信主管部门报告 , 未有效支撑工信部开展网络安全威胁和漏洞管理 。
经研究现暂停阿里云作为上述合作单位 6 个月 , 暂停期满后根据阿里云整改情况 , 研究恢复其上述合作单位 。
在此之前的 19 日 , 工信部发布公告通报了阿帕奇 Log4j2 组件中的一个重大安全漏洞 , 这一漏洞可能导致设备远程受控 , 进而引发敏感信息窃取、设备服务中断等严重危害 , 属于高危漏洞 。
【淘宝|“史诗级”漏洞未及时上报,阿里云被工信部暂停合作单位称号】彼时媒体报道显示 , 近日系阿里云发现阿帕奇 Log4j2 组件中存在远程代码执行漏洞 , 并将漏洞情况告知了阿帕奇软件基金会 。

据了解 , Apache?Log4j2 是阿帕奇软件基金会旗下的一款日志纪录工具 , 90% 以上的 Java 开发平台都会直接或间接地使用这款工具 。
正因如此 , 此次漏洞危险波及范围极广 , 覆盖了 IT 通信 ( 互联网 ) 、高校、工业制造、金融、医疗卫生、运营商等大量的行业和领域 。 业界将其称之为堪比 2017 年 \" 永恒之蓝 \" 的史诗级安全漏洞 。
2017 年 4 月 , 黑客团体 Shadow Brokers 公布了一大批网络攻击工具 , 其中最为突出的便是 \" 永恒之蓝 \" 工具 。
这款工具利用 Windows 系统的 SMB 漏洞 , 可以获取系统的最高权限 。 不法分子通过 \" 永恒之蓝 \" 工具制作了 wannacry 勒索病毒 , 攻击了英国、俄罗斯、整个欧洲等地区的多个高校、大型企业机构的网络系统 , 并向被攻击者勒索高额赎金才予以解密恢复文件 。

对此有观点指出 , 此次被曝出的 Apache?Log4j2 漏洞 , 或许比 \" 永恒之蓝 \" 更 \" 好用 \" 。 网络攻击者甚至只需复制粘贴一段简单的代码 , 然后无需执行其他操作即可触发该漏洞 。
然后攻击者可以通过漏洞触发远程木马执行 , 进而控制受害者设备来进行窃取数据、投递勒索病毒、挖矿木马等操作 , 会对用户的网络和财产安全造成严重威胁 。
也有消息报道称 , 由于 Apache?Log4j2 在各大交易所、钱包、DeFi 项目中广泛使用 , 攻击者几乎立即开始利用该漏洞进行非法的加密货币挖掘 , 或利用互联网上的合法计算资源来产生加密货币以获取经济利益 ,
综合多个报道信息可以发现 , 对于如此高危害级别的安全漏洞 , 阿里云虽然发现了漏洞并反馈给了软件所有方阿帕奇软件基金会 , 但在网络安全威胁信息共享平台的上报流程上出现了问题 。

此前 Canalys 发布中国云计算市场 2021 年第三季度报告显示 , 阿里云、华为云、腾讯云和百度智能云依旧占据市场第一梯队 , 其中阿里云市场份额排名第一 。
针对被暂停工信部网络安全威胁信息共享平台合作单位一事 , 阿里云方面尚未作出公开回应 。
ZAKER 新闻出品
文 / 曾宪天