【文/觀察者網(wǎng) 呂棟】

12月22日，阿里云被工信部暫停網(wǎng)絡(luò)安全威脅信息共享平臺合作單位6個月的消息引發(fā)輿論廣泛關(guān)注。

這事緣起于一個月前。當時，阿里云發(fā)現(xiàn)阿帕奇（Apache）Log4j2組件嚴重安全漏洞后，隨即向位于美國的阿帕奇軟件基金會通報，但并沒有按照規(guī)定向中國工信部通報。事發(fā)半個月后，中國工信部收到網(wǎng)絡(luò)安全專業(yè)機構(gòu)的報告，才發(fā)現(xiàn)阿帕奇組件存在嚴重安全漏洞。

阿帕奇組件存在的到底是什么漏洞？阿里云沒有及時通報會造成什么后果？國內(nèi)企業(yè)在發(fā)現(xiàn)網(wǎng)絡(luò)安全漏洞后應(yīng)該走什么程序通報？觀察者網(wǎng)帶著這些問題采訪了一些業(yè)內(nèi)人士。

漏洞銀行聯(lián)合創(chuàng)始人、CTO張雪松向觀察者網(wǎng)指出，Log4j2組件應(yīng)用極其廣泛，漏洞危害可以迅速傳播到各個領(lǐng)域。由于阿里云未及時向中國主管部門報告相關(guān)漏洞，直接造成相關(guān)機構(gòu)處于被動地位。

關(guān)于Log4j組件在計算機網(wǎng)絡(luò)領(lǐng)域的關(guān)鍵作用，有國外網(wǎng)友用漫畫形式做了形象說明?？梢钥闯?，如果沒有Log4j組件的支撐，所有現(xiàn)代數(shù)字基礎(chǔ)設(shè)施都面臨倒塌的危險。

國外社交媒體用戶以表情包的形式，說明Log4j的重要性

觀察者網(wǎng)梳理此次阿帕奇嚴重安全漏洞的時間線如下：

11月24日，阿里云在Web服務(wù)器軟件阿帕奇（Apache）下的開源日志組件Log4j內(nèi)，發(fā)現(xiàn)重大漏洞Log4Shell，然后向總部位于美國的阿帕奇軟件基金會報告。

獲得消息后，奧地利和新西蘭官方計算機應(yīng)急小組立即對這一漏洞進行預(yù)警。新西蘭方面聲稱，該漏洞正在被“積極利用”，并且概念驗證代碼也已被發(fā)布。

12月9日，中國工信部收到有關(guān)網(wǎng)絡(luò)安全專業(yè)機構(gòu)報告，發(fā)現(xiàn)阿帕奇Log4j2組件存在嚴重安全漏洞，立即召集阿里云、網(wǎng)絡(luò)安全企業(yè)、網(wǎng)絡(luò)安全專業(yè)機構(gòu)等開展研判，并向行業(yè)單位進行風(fēng)險預(yù)警。

12月10日，中國國家信息安全漏洞共享平臺收錄Apache Log4j2遠程代碼執(zhí)行漏洞；漏洞利用細節(jié)公開，阿帕奇官方發(fā)布補丁修復(fù)該漏洞。

12月10日，阿里云在官網(wǎng)公告披露，安全團隊發(fā)現(xiàn)Apache Log4j 2.15.0-rc1版本存在漏洞繞過，要求用戶及時更新版本，并向用戶介紹該漏洞的具體背景及相應(yīng)的修復(fù)方案。

12月14日，中國國家信息安全漏洞共享平臺發(fā)布《Apache Log4j2遠程代碼執(zhí)行漏洞排查及修復(fù)手冊》，供相關(guān)單位、企業(yè)及個人參考。

12月22日，工信部通報，由于阿里云發(fā)現(xiàn)阿帕奇嚴重安全漏洞隱患后，未及時向電信主管部門報告，未有效支撐工信部開展網(wǎng)絡(luò)安全威脅和漏洞管理，決定暫停該公司作為工信部網(wǎng)絡(luò)安全威脅信息共享平臺合作單位6個月。

根據(jù)公開資料，此次被阿里云安全團隊發(fā)現(xiàn)漏洞的Apache Log4j2是一款開源的Java日志記錄工具，控制Java類系統(tǒng)日志信息生成、打印輸出、格式配置等，大量的業(yè)務(wù)框架都使用了該組件，因此被廣泛應(yīng)用于各種應(yīng)用程序和網(wǎng)絡(luò)服務(wù)。

有資深業(yè)內(nèi)人士告訴觀察者網(wǎng)，Log4j2組件出現(xiàn)安全漏洞主要有兩方面影響：一是Log4j2本身在java類系統(tǒng)中應(yīng)用極其廣泛，全球Java框架幾乎都有使用。二是漏洞細節(jié)被公開，由于利用條件極低幾乎沒有技術(shù)門檻。因適用范圍廣和漏洞利用難度低，所以影響立即擴散并迅速傳播到各個行業(yè)領(lǐng)域。

簡單來說，這一漏洞可以讓網(wǎng)絡(luò)攻擊者無需密碼就能訪問網(wǎng)絡(luò)服務(wù)器。

這并非危言聳聽。美聯(lián)社等外媒在獲取消息后評論稱，這一漏洞可能是近年來發(fā)現(xiàn)的最嚴重的計算機漏洞。Log4j2在全行業(yè)和政府使用的云服務(wù)器和企業(yè)軟件中“無處不在”，甚至犯罪分子、間諜乃至編程新手，都可以輕易使用這一漏洞進入內(nèi)部網(wǎng)絡(luò)，竊取信息、植入惡意軟件和刪除關(guān)鍵信息等。

阿里云官網(wǎng)截圖

然而，阿里云在發(fā)現(xiàn)這個“過去十年內(nèi)最大也是最關(guān)鍵的單一漏洞”后，并沒有按照《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》第七條要求，在2天內(nèi)向工信部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺報送信息，而只是向阿帕奇軟件基金會通報了相關(guān)信息。

觀察者網(wǎng)查詢公開資料發(fā)現(xiàn)，阿帕奇軟件基金會（Apache）于1999年成立于美國，是專門為支持開源軟件項目而辦的一個非營利性組織。在它所支持的Apache項目與子項目中，所發(fā)行的軟件產(chǎn)品都遵循Apache許可證（Apache License）。

12月10日，在阿里云向阿帕奇軟件基金會通報漏洞過去半個多月后，中國國家信息安全漏洞共享平臺才獲得相關(guān)信息，并發(fā)布《關(guān)于Apache Log4j2存在遠程代碼執(zhí)行漏洞的安全公告》，稱阿帕奇官方已發(fā)布補丁修復(fù)該漏洞，并建議受影響用戶立即更新至最新版本，同時采取防范性措施避免漏洞攻擊威脅。

中國國家信息安全漏洞共享平臺官網(wǎng)截圖

事實上，國內(nèi)網(wǎng)絡(luò)漏洞報送存在清晰流程。業(yè)內(nèi)人士向觀察者網(wǎng)介紹，業(yè)界通用的漏洞報送流程是，成員單位>工業(yè)和信息化部網(wǎng)絡(luò)安全管理局>國家信息安全漏洞共享平臺（CNVD）＞CVE 中國信息安全測評中心>國家信息安全漏洞庫（CNNVD）>國際非盈利組織CVE；非成員單位或個人注冊提交CNVD或CNNVD。

根據(jù)公開資料，CVE（通用漏洞共享披露）是國際非盈利組織，全球通用漏洞共享披露協(xié)調(diào)企業(yè)修復(fù)解決安全問題，由于最早由美國發(fā)起該漏洞技術(shù)委員會，所以組織管理機構(gòu)主要在美國。而CNVD是中國的信息安全漏洞信息共享平臺，由國內(nèi)重要信息系統(tǒng)單位、基礎(chǔ)電信運營商、網(wǎng)絡(luò)安全廠商、軟件廠商和互聯(lián)網(wǎng)企業(yè)建立的信息安全漏洞信息共享知識庫。

上述業(yè)內(nèi)人士認為，阿里這次因為漏洞影響較大，所以被當做典型通報。在CNVD建立之前以及最近幾年，國內(nèi)安全人員對CVE的共識、認可度和普及程度更高，發(fā)現(xiàn)漏洞安全研究人員慣性會提交CVE，雖然最近兩年國家建立了CNVD，但普及程度不夠，估計阿里安全研究員提交漏洞的時候，認為是個人技術(shù)成果的事情，上報國際組織協(xié)調(diào)修復(fù)即可。

但根據(jù)最新發(fā)布的《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》，國內(nèi)安全研究人員發(fā)現(xiàn)漏洞之后報送CNVD即可，CNVD會發(fā)起向CVE報送流程，協(xié)調(diào)廠商和企業(yè)修復(fù)安全漏洞，不允許直接向國外漏洞平臺提交。

由于阿里云這次的行為未有效支撐工信部開展網(wǎng)絡(luò)安全威脅和漏洞管理，根據(jù)工信部最新通報，工信部網(wǎng)絡(luò)安全管理局研究后，決定暫停阿里云作為上述合作單位6個月。暫停期滿后，根據(jù)阿里云整改情況，研究恢復(fù)其上述合作單位。

業(yè)內(nèi)人士向觀察者網(wǎng)指出，工信部這次針對是阿里，其實也是向國內(nèi)網(wǎng)絡(luò)安全行業(yè)從業(yè)人員發(fā)出警示。從結(jié)果來看對阿里的處罰算輕的，一是沒有踢出成員單位，只是暫停6個月。二是工信部沒有對這次事件的安全研究人員進行個人行政處罰或警告，只是對直接向國外CVE報送的Log4j漏洞的那個安全專家點名批評。

本文系觀察者網(wǎng)獨家稿件，未經(jīng)授權(quán)，不得轉(zhuǎn)載。