【文/觀察者網(wǎng) 呂棟】

12月22日，阿里云被工信部暫停網(wǎng)絡(luò)安全威脅信息共享平臺(tái)合作單位6個(gè)月的消息引發(fā)輿論廣泛關(guān)注。

這事緣起于一個(gè)月前。當(dāng)時(shí)，阿里云團(tuán)隊(duì)的一名成員發(fā)現(xiàn)阿帕奇（Apache）Log4j2組件嚴(yán)重安全漏洞后，隨即向位于美國(guó)的阿帕奇軟件基金會(huì)通報(bào)，但并沒(méi)有按照規(guī)定向中國(guó)工信部通報(bào)。事發(fā)半個(gè)月后，中國(guó)工信部收到網(wǎng)絡(luò)安全專(zhuān)業(yè)機(jī)構(gòu)的報(bào)告，才發(fā)現(xiàn)阿帕奇組件存在嚴(yán)重安全漏洞。

阿帕奇組件存在的到底是什么漏洞？阿里云沒(méi)有及時(shí)通報(bào)會(huì)造成什么后果？國(guó)內(nèi)企業(yè)在發(fā)現(xiàn)安全漏洞后應(yīng)該走什么程序通報(bào)？觀察者網(wǎng)帶著這些問(wèn)題采訪(fǎng)了一些業(yè)內(nèi)人士。

漏洞銀行聯(lián)合創(chuàng)始人、CTO張雪松向觀察者網(wǎng)指出，Log4j2組件應(yīng)用極其廣泛，漏洞危害可以迅速傳播到各個(gè)領(lǐng)域。由于阿里云未及時(shí)向中國(guó)主管部門(mén)報(bào)告相關(guān)漏洞，直接造成國(guó)內(nèi)相關(guān)機(jī)構(gòu)處于被動(dòng)地位。

關(guān)于Log4j2組件在計(jì)算機(jī)網(wǎng)絡(luò)領(lǐng)域的關(guān)鍵作用，有國(guó)外網(wǎng)友用漫畫(huà)形式做了形象說(shuō)明。按這個(gè)圖片解讀，如果沒(méi)有Log4j2組件的支撐，所有現(xiàn)代數(shù)字基礎(chǔ)設(shè)施都存在倒塌的危險(xiǎn)。

國(guó)外社交媒體用戶(hù)以漫畫(huà)的形式，說(shuō)明Log4j2的重要性

先簡(jiǎn)單梳理一下阿帕奇嚴(yán)重安全漏洞的時(shí)間線(xiàn)：

11月24日，阿里云在Web服務(wù)器軟件阿帕奇（Apache）下的開(kāi)源日志組件Log4j2內(nèi)，發(fā)現(xiàn)重大漏洞Log4Shell，然后向總部位于美國(guó)的阿帕奇軟件基金會(huì)報(bào)告。

獲得消息后，奧地利和新西蘭官方計(jì)算機(jī)應(yīng)急小組立即對(duì)這一漏洞進(jìn)行預(yù)警。新西蘭方面聲稱(chēng)，該漏洞正在被“積極利用”，并且概念驗(yàn)證代碼也已被發(fā)布。

12月9日，中國(guó)工信部收到有關(guān)網(wǎng)絡(luò)安全專(zhuān)業(yè)機(jī)構(gòu)報(bào)告，發(fā)現(xiàn)阿帕奇Log4j2組件存在嚴(yán)重安全漏洞，立即召集阿里云、網(wǎng)絡(luò)安全企業(yè)、網(wǎng)絡(luò)安全專(zhuān)業(yè)機(jī)構(gòu)等開(kāi)展研判，并向行業(yè)單位進(jìn)行風(fēng)險(xiǎn)預(yù)警。

12月9日，阿帕奇官方發(fā)布緊急安全更新以修復(fù)遠(yuǎn)程代碼執(zhí)行漏洞，漏洞利用細(xì)節(jié)公開(kāi)，但更新后的Apache Log4j2.15.0-rc1版本被發(fā)現(xiàn)仍存在漏洞繞過(guò)。

12月10日，中國(guó)國(guó)家信息安全漏洞共享平臺(tái)收錄Apache Log4j2遠(yuǎn)程代碼執(zhí)行漏洞；阿帕奇官方再度發(fā)布log4j-2.15.0-rc2版本修復(fù)漏洞。

12月10日，阿里云在官網(wǎng)公告披露，安全團(tuán)隊(duì)發(fā)現(xiàn)Apache Log4j2.15.0-rc1版本存在漏洞繞過(guò)，要求用戶(hù)及時(shí)更新版本，并向用戶(hù)介紹該漏洞的具體背景及相應(yīng)的修復(fù)方案。

12月14日，中國(guó)國(guó)家信息安全漏洞共享平臺(tái)發(fā)布《Apache Log4j2遠(yuǎn)程代碼執(zhí)行漏洞排查及修復(fù)手冊(cè)》，供相關(guān)單位、企業(yè)及個(gè)人參考。

12月22日，工信部通報(bào)，由于阿里云發(fā)現(xiàn)阿帕奇嚴(yán)重安全漏洞隱患后，未及時(shí)向電信主管部門(mén)報(bào)告，未有效支撐工信部開(kāi)展網(wǎng)絡(luò)安全威脅和漏洞管理，決定暫停該公司作為工信部網(wǎng)絡(luò)安全威脅信息共享平臺(tái)合作單位6個(gè)月。

根據(jù)公開(kāi)資料，此次被阿里云安全團(tuán)隊(duì)發(fā)現(xiàn)漏洞的阿帕奇Log4j2是一款開(kāi)源的Java日志記錄工具，控制Java類(lèi)系統(tǒng)日志信息生成、打印輸出、格式配置等，大量的業(yè)務(wù)框架都使用了該組件，因此被廣泛應(yīng)用于各種應(yīng)用程序和網(wǎng)絡(luò)服務(wù)。

有資深業(yè)內(nèi)人士告訴觀察者網(wǎng)，Log4j2組件出現(xiàn)安全漏洞主要有兩方面影響：一是Log4j2本身在java類(lèi)系統(tǒng)中應(yīng)用極其廣泛，全球Java框架幾乎都有使用。二是漏洞細(xì)節(jié)被公開(kāi)，由于利用條件極低幾乎沒(méi)有技術(shù)門(mén)檻。因適用范圍廣和漏洞利用難度低，所以影響立即擴(kuò)散并迅速傳播到各個(gè)行業(yè)領(lǐng)域。

簡(jiǎn)單來(lái)說(shuō)，這一漏洞可以讓網(wǎng)絡(luò)攻擊者無(wú)需密碼就能訪(fǎng)問(wèn)網(wǎng)絡(luò)服務(wù)器。

這并非危言聳聽(tīng)。美聯(lián)社等外媒在獲取消息后評(píng)論稱(chēng)，這一漏洞可能是近年來(lái)發(fā)現(xiàn)的最嚴(yán)重的計(jì)算機(jī)漏洞。Log4j2在全行業(yè)和政府使用的云服務(wù)器和企業(yè)軟件中“無(wú)處不在”，甚至犯罪分子、間諜乃至編程新手，都可以輕易使用這一漏洞進(jìn)入內(nèi)部網(wǎng)絡(luò)，竊取信息、植入惡意軟件和刪除關(guān)鍵信息等。

阿里云官網(wǎng)截圖

然而，阿里云在發(fā)現(xiàn)這個(gè)“過(guò)去十年內(nèi)最大也是最關(guān)鍵的單一漏洞”后，并沒(méi)有按照《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》第七條要求，在2天內(nèi)向工信部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)報(bào)送信息，而只是向阿帕奇軟件基金會(huì)通報(bào)了相關(guān)信息。

觀察者網(wǎng)查詢(xún)公開(kāi)資料發(fā)現(xiàn)，阿帕奇軟件基金會(huì)（Apache）于1999年成立于美國(guó)，是專(zhuān)門(mén)為支持開(kāi)源軟件項(xiàng)目而辦的一個(gè)非營(yíng)利性組織。在它所支持的Apache項(xiàng)目與子項(xiàng)目中，所發(fā)行的軟件產(chǎn)品都遵循Apache許可證（Apache License）。

12月10日，在阿里云向阿帕奇軟件基金會(huì)通報(bào)漏洞過(guò)去半個(gè)多月后，中國(guó)國(guó)家信息安全漏洞共享平臺(tái)才獲得相關(guān)信息，并發(fā)布《關(guān)于Apache Log4j2存在遠(yuǎn)程代碼執(zhí)行漏洞的安全公告》，稱(chēng)阿帕奇官方已發(fā)布補(bǔ)丁修復(fù)該漏洞，并建議受影響用戶(hù)立即更新至最新版本，同時(shí)采取防范性措施避免漏洞攻擊威脅。

中國(guó)國(guó)家信息安全漏洞共享平臺(tái)官網(wǎng)截圖

事實(shí)上，國(guó)內(nèi)網(wǎng)絡(luò)漏洞報(bào)送有一套清晰流程。業(yè)內(nèi)人士向觀察者網(wǎng)介紹，業(yè)界通用的漏洞報(bào)送流程是，成員單位>工業(yè)和信息化部網(wǎng)絡(luò)安全管理局 >國(guó)家信息安全漏洞共享平臺(tái)（CNVD）＞CVE；成員單位＞中國(guó)信息安全測(cè)評(píng)中心 > 國(guó)家信息安全漏洞庫(kù)（CNNVD）> 國(guó)際非盈利組織CVE；非成員單位或個(gè)人注冊(cè)提交CNVD或CNNVD。

根據(jù)公開(kāi)資料，CVE（通用漏洞共享披露）是國(guó)際非盈利組織，全球通用漏洞共享披露協(xié)調(diào)企業(yè)修復(fù)解決安全問(wèn)題，由于最早由美國(guó)發(fā)起該漏洞技術(shù)委員會(huì)，所以組織管理機(jī)構(gòu)主要在美國(guó)。而CNVD是中國(guó)的信息安全漏洞信息共享平臺(tái)，由國(guó)內(nèi)重要信息系統(tǒng)單位、基礎(chǔ)電信運(yùn)營(yíng)商、網(wǎng)絡(luò)安全廠商、軟件廠商和互聯(lián)網(wǎng)企業(yè)建立的信息安全漏洞信息共享知識(shí)庫(kù)。

上述業(yè)內(nèi)人士認(rèn)為，阿里這次因?yàn)槁┒从绊戄^大，所以被當(dāng)做典型通報(bào)。在CNVD建立之前以及最近幾年，國(guó)內(nèi)安全人員對(duì)CVE的共識(shí)、認(rèn)可度和普及程度更高，發(fā)現(xiàn)漏洞安全研究人員慣性會(huì)提交CVE，雖然最近兩年國(guó)家建立了CNVD，但普及程度不夠，估計(jì)阿里安全研究員提交漏洞的時(shí)候，認(rèn)為是個(gè)人技術(shù)成果的事情，上報(bào)國(guó)際組織協(xié)調(diào)修復(fù)即可。

但根據(jù)最新發(fā)布的《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》，國(guó)內(nèi)安全研究人員發(fā)現(xiàn)漏洞之后報(bào)送CNVD即可，CNVD會(huì)發(fā)起向CVE報(bào)送流程，協(xié)調(diào)廠商和企業(yè)修復(fù)安全漏洞，不允許直接向國(guó)外漏洞平臺(tái)提交。

由于阿里云未有效支撐工信部開(kāi)展網(wǎng)絡(luò)安全威脅和漏洞管理，工信部網(wǎng)絡(luò)安全管理局研究后，決定暫停阿里云作為上述合作單位6個(gè)月。暫停期滿(mǎn)后，根據(jù)阿里云整改情況，研究恢復(fù)其上述合作單位。

業(yè)內(nèi)人士向觀察者網(wǎng)指出，工信部這次針對(duì)是阿里，其實(shí)也是向國(guó)內(nèi)網(wǎng)絡(luò)安全行業(yè)從業(yè)人員發(fā)出警示。從結(jié)果來(lái)看對(duì)阿里的處罰算輕的，一是沒(méi)有踢出成員單位，只是暫停6個(gè)月。二是工信部沒(méi)有對(duì)這次事件的安全研究人員進(jìn)行個(gè)人行政處罰或警告，只是對(duì)直接向國(guó)外CVE報(bào)送的Log4j漏洞的那個(gè)安全專(zhuān)家點(diǎn)名批評(píng)。

本文系觀察者網(wǎng)獨(dú)家稿件，未經(jīng)授權(quán)，不得轉(zhuǎn)載。