A股行情
  • 上證指數(shù)---
  • 深證成指---
  • 創(chuàng)業(yè)板指---
  • 滬深300---
  • 中證500---
  • 科創(chuàng)50---

Apache安全漏洞全球發(fā)酵 工信部暫停阿里云合作單位 Log4j2問(wèn)題影響幾何?

2021-12-23 05:00:00 21世紀(jì)經(jīng)濟(jì)報(bào)道 吳立洋

近日,南方財(cái)經(jīng)全媒體記者獨(dú)家獲悉,工業(yè)和信息化部網(wǎng)絡(luò)安全管理局通報(bào)稱,阿里云計(jì)算有限公司(以下簡(jiǎn)稱“阿里云”)作為工信部網(wǎng)絡(luò)安全威脅信息共享平臺(tái)合作單位,在發(fā)現(xiàn)阿帕奇(Apache)Log4j2組件嚴(yán)重安全漏洞隱患后,未及時(shí)向電信主管部門(mén)報(bào)告,未有效支撐工信部開(kāi)展網(wǎng)絡(luò)安全威脅和漏洞管理。經(jīng)研究,現(xiàn)暫停阿里云公司作為上述合作單位6個(gè)月。暫停期滿后,根據(jù)阿里云公司整改情況,研究恢復(fù)其上述合作單位。

多位網(wǎng)絡(luò)安全領(lǐng)域?qū)<以诮邮苡浾卟稍L時(shí)表示,本次阿帕奇Log4j2組件的漏洞是典型的通用型漏洞,作為最常用的Java程序日志監(jiān)控組件之一,Log4j2被應(yīng)用在各種各樣的衍生框架中,同時(shí)它也是Java全生態(tài)的基礎(chǔ)組件之一,而此類組件一旦崩塌,其影響將是破壞性的。

Log4j2作為一個(gè)經(jīng)典的開(kāi)源軟件,很多開(kāi)發(fā)者在編寫(xiě)程序時(shí)都會(huì)直接將其集成于代碼中。視覺(jué)中國(guó)

引發(fā)全球計(jì)算機(jī)安全危機(jī)

2001年,軟件開(kāi)發(fā)者Ceki Gulcu設(shè)計(jì)出一套基于Java語(yǔ)言的日志庫(kù)Log4j,并于不久后加入專門(mén)運(yùn)作開(kāi)源軟件項(xiàng)目的非盈利組織Apache。在此后的軟件迭代升級(jí)中,Apache在Log4j的基礎(chǔ)上推出了新開(kāi)源項(xiàng)目Log4j2,在保留原本特性的同時(shí)加入了控制日志信息輸出目的地、輸出格式、定義信息級(jí)別等功能,并很快因?yàn)槠浜?jiǎn)易便捷、功能強(qiáng)大的特征,作為基本集成模塊廣泛應(yīng)用于各類使用Java開(kāi)源系統(tǒng)中。

但也正因?yàn)長(zhǎng)og4j2廣泛的適用性,在被爆出存在遠(yuǎn)程代碼執(zhí)行安全漏洞后,在全球計(jì)算機(jī)領(lǐng)域引發(fā)巨大的安全危機(jī)。

近日,谷歌開(kāi)源團(tuán)隊(duì)對(duì)Java軟件包最重要的存儲(chǔ)庫(kù)——Maven中央存儲(chǔ)庫(kù)進(jìn)行了掃描,發(fā)現(xiàn)35863個(gè)軟件包使用的Apache Log4j庫(kù)版本易受相關(guān)漏洞的影響。谷歌發(fā)布報(bào)告稱,受影響的Java包數(shù)量占Maven中央存儲(chǔ)庫(kù)的8%,考慮到該存儲(chǔ)庫(kù)廣泛的應(yīng)用范圍,漏洞將對(duì)整個(gè)行業(yè)生態(tài)產(chǎn)生巨大影響。某北京網(wǎng)絡(luò)安全公司技術(shù)人員向記者表示,大概百分之八十到九十涉及到Java的開(kāi)發(fā)都可能受到該漏洞的影響。

梆梆安全高級(jí)副總裁方寧在接受21世紀(jì)經(jīng)濟(jì)報(bào)道記者采訪時(shí)表示,后臺(tái)記錄日志功能是大部分系統(tǒng)都會(huì)具備的模塊,而Log4j2作為一個(gè)經(jīng)典的開(kāi)源軟件,很多開(kāi)發(fā)者在編寫(xiě)程序時(shí)都會(huì)直接將其集成于代碼中,這些新的軟件可能又會(huì)被別的系統(tǒng)集成在內(nèi)。經(jīng)過(guò)不斷地疊加和嵌套,一旦Log4j2出現(xiàn)安全問(wèn)題,一整條程序鏈條上的開(kāi)源軟件和系統(tǒng)都會(huì)受到波及,影響覆蓋范圍非常廣泛。

除了Log4j2本身應(yīng)用范圍廣外,該漏洞的另一大特征在于利用方式十分簡(jiǎn)單。據(jù)專家介紹,攻擊者僅需向目標(biāo)輸入一段代碼,不需要用戶執(zhí)行任何多余操作即可觸發(fā)該漏洞,使攻擊者得以遠(yuǎn)程控制受害者用戶的服務(wù)器,90%以上基于Java開(kāi)發(fā)的應(yīng)用平臺(tái)都會(huì)受到影響。

奇安信集團(tuán)安域云防護(hù)的監(jiān)測(cè)數(shù)據(jù)顯示,截至12月10日中午12點(diǎn),已發(fā)現(xiàn)近1萬(wàn)次利用該漏洞的攻擊行為。奇安信應(yīng)急響應(yīng)中心已接到十余起重要單位的漏洞應(yīng)急響應(yīng)需求,并于12月9日晚間將漏洞信息上報(bào)了相關(guān)主管部門(mén)。補(bǔ)天漏洞響應(yīng)平臺(tái)負(fù)責(zé)人介紹,12月9日深夜,僅一小時(shí)內(nèi)就收到白帽黑客提交的百余條該漏洞的信息。

而此前就十分猖獗的網(wǎng)絡(luò)勒索軟件,通過(guò)利用Log4j2漏洞被發(fā)現(xiàn)后各大企業(yè)尚未及時(shí)修補(bǔ)前的間隙,發(fā)起了新一輪大規(guī)模勒索攻擊。來(lái)自KnownSec 404團(tuán)隊(duì)和深信服威脅情報(bào)團(tuán)隊(duì)的研究人員報(bào)告稱,TellYouThePass、Khonsari等勒索軟件正利用該漏洞針對(duì)Linux和Windows系統(tǒng)發(fā)起進(jìn)攻,在用戶終端直接完成安裝。

發(fā)現(xiàn)漏洞應(yīng)及時(shí)上報(bào)

據(jù)工信部于12月17日在其官網(wǎng)發(fā)布的《關(guān)于阿帕奇Log4j2組件重大安全漏洞的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)提示》顯示,2021年12月9日,工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)收到有關(guān)網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)報(bào)告,阿帕奇Log4j2組件存在嚴(yán)重安全漏洞。工業(yè)和信息化部立即組織有關(guān)網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)開(kāi)展漏洞風(fēng)險(xiǎn)分析,召集阿里云、網(wǎng)絡(luò)安全企業(yè)、網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)等開(kāi)展研判,通報(bào)督促阿帕奇軟件基金會(huì)及時(shí)修補(bǔ)該漏洞,向行業(yè)單位進(jìn)行風(fēng)險(xiǎn)預(yù)警。

《提示》中還指出,該漏洞可能導(dǎo)致設(shè)備遠(yuǎn)程受控,進(jìn)而引發(fā)敏感信息竊取、設(shè)備服務(wù)中斷等嚴(yán)重危害,屬于高危漏洞。為降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn),提醒有關(guān)單位和公眾密切關(guān)注阿帕奇Log4j2組件漏洞補(bǔ)丁發(fā)布,排查自有相關(guān)系統(tǒng)阿帕奇Log4j2組件使用情況,及時(shí)升級(jí)組件版本。

在此之前,我國(guó)對(duì)網(wǎng)絡(luò)漏洞的處理方式和流程已做出具體要求?!毒W(wǎng)絡(luò)安全法》第二十五條規(guī)定:“網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,及時(shí)處置系統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風(fēng)險(xiǎn);在發(fā)生危害網(wǎng)絡(luò)安全的事件時(shí),立即啟動(dòng)應(yīng)急預(yù)案,采取相應(yīng)的補(bǔ)救措施,并按照規(guī)定向有關(guān)主管部門(mén)報(bào)告。”

今年7月,工業(yè)和信息化部、國(guó)家互聯(lián)網(wǎng)信息辦公室、公安部聯(lián)合發(fā)布《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》,對(duì)網(wǎng)絡(luò)產(chǎn)品提供者、運(yùn)營(yíng)者及信息共享平臺(tái)的責(zé)任與義務(wù)提出更為詳細(xì)的要求。其第七條規(guī)定,網(wǎng)絡(luò)產(chǎn)品提供者在發(fā)現(xiàn)或者獲知所提供網(wǎng)絡(luò)產(chǎn)品存在安全漏洞后,應(yīng)當(dāng)立即采取措施并組織驗(yàn)證,評(píng)估其危害程度和影響范圍,并在2日內(nèi)向工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)報(bào)送相關(guān)漏洞信息;對(duì)屬于其上游產(chǎn)品或者組件存在的安全漏洞,應(yīng)當(dāng)立即通知相關(guān)產(chǎn)品提供者;對(duì)于需要產(chǎn)品用戶(含下游廠商)采取軟件、固件升級(jí)等措施的應(yīng)及時(shí)告知并提供必要的技術(shù)支持。

平臺(tái)方面,工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)同步向國(guó)家網(wǎng)絡(luò)與信息安全信息通報(bào)中心、國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心通報(bào)相關(guān)漏洞信息。

據(jù)方寧介紹,目前國(guó)內(nèi)的國(guó)家級(jí)漏洞采集共享平臺(tái)主要包括CNVD(國(guó)家信息安全漏洞共享平臺(tái))、CNNVD(國(guó)家信息安全漏洞庫(kù))等,此類平臺(tái)往往招募了大量第三方安全企業(yè)長(zhǎng)期向其輸送網(wǎng)絡(luò)安全漏洞,這些第三方企業(yè)作為相關(guān)部門(mén)的支撐單位,需要依據(jù)規(guī)定及時(shí)將發(fā)現(xiàn)的漏洞提交到國(guó)家采集平臺(tái)上。

影響預(yù)計(jì)還將持續(xù)

目前,受到Log4j2漏洞影響和威脅的企業(yè)與組織數(shù)量仍在持續(xù)增長(zhǎng),據(jù)火線Apache Log4j2漏洞影響面查詢網(wǎng)站統(tǒng)計(jì)顯示,截至發(fā)稿前,該漏洞已影響超6萬(wàn)個(gè)開(kāi)源軟件,涉及相關(guān)版本軟件包32萬(wàn)余個(gè)。

除企業(yè)外,一些政府機(jī)構(gòu)和社會(huì)組織由于未及時(shí)修補(bǔ)Log4j2漏洞,也成為黑客的攻擊目標(biāo)。據(jù)報(bào)道,當(dāng)?shù)貢r(shí)間12月16日,比利時(shí)國(guó)防部遭到黑客利用該漏洞發(fā)起的攻擊,比利時(shí)國(guó)防部長(zhǎng)回應(yīng)稱,其安全團(tuán)隊(duì)正努力保證網(wǎng)絡(luò)安全,防止再發(fā)生類似事件。

盡管在12月8日,Apache官方就已發(fā)布Log4j2安全更新,但其影響預(yù)計(jì)還將持續(xù)很長(zhǎng)一段時(shí)間。

“可能還需要至少6個(gè)月,才能把本次漏洞的影響面縮減到比較小的范圍內(nèi)?!狈綄幗忉尫Q,此類0day漏洞(已被發(fā)現(xiàn)但還未推出相關(guān)補(bǔ)丁的漏洞)剛被爆出時(shí),往往是對(duì)安全問(wèn)題較為重視并有相應(yīng)財(cái)力、人力的企業(yè)最早完成修復(fù),大量的中小企業(yè)如果沒(méi)有專門(mén)的網(wǎng)絡(luò)安全部門(mén)和團(tuán)隊(duì),可能都無(wú)法獲知相關(guān)的情況。

廣州某數(shù)據(jù)公司技術(shù)負(fù)責(zé)人向記者表示,在大量中小企業(yè)愈發(fā)依賴云服務(wù)商提供的各類基礎(chǔ)技術(shù)服務(wù)支撐時(shí),云服務(wù)商有義務(wù)承擔(dān)更多的預(yù)警和安全保障的社會(huì)責(zé)任。

方寧表示,當(dāng)前各大安全廠商已提供了一些自動(dòng)化檢測(cè)工具和腳本,現(xiàn)在最重要的是企業(yè)和相關(guān)單位重視起來(lái),根據(jù)國(guó)家漏洞庫(kù)、漏洞平臺(tái)給出的解決方案,對(duì)照自己的產(chǎn)品系統(tǒng)進(jìn)行檢查。上述北京網(wǎng)絡(luò)安全公司技術(shù)人員則表示,很多開(kāi)發(fā)者及時(shí)升級(jí)軟件版本,就可以避免被黑客利用漏洞進(jìn)行攻擊,“最關(guān)鍵的還是要做好自查和升級(jí)?!?/p>