12月22日消息,工业和信息化部网络安全管理局通报称,阿里云公司发现阿帕奇(Apache)Log4j2 组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。经研究,现暂停阿里云公司作为上述合作单位 6 个月。暂停期满后,根据阿里云公司整改情况,研究恢复其上述合作单位。
(源自阿里云)
据悉,工业和信息化部网络安全威胁和漏洞信息共享平台于2021年9月1日正式上线运行,官网显示,工信部网络安全威胁信息共享平台合作单位共有33家,包括中国电信、中国移动、中国联通、阿里云、腾讯、奇安信、京东、360、百度等。
(源自工信部官网)
该平台由中国信息通信研究院会同国家工业信息安全发展研究中心、中国软件评测中心、中国汽车技术研究中心等国家网络安全专业机构共同建设。
工业和信息化部网络安全管理局通报表示,作为工信部网络安全威胁信息共享平台合作单位,阿里云发现阿帕奇(Apache)Log4j2 组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。
在此之前的 19 日,工信部发布公告通报了阿里云计算有限公司发现了 Java 日志库的阿帕奇 Apache Log4j2 组件存在远程代码执行漏洞,并将漏洞情况告知阿帕奇软件基金会。
据了解,Apache?Log4j2 是阿帕奇软件基金会旗下的一款日志纪录工具,90% 以上的 Java 开发平台都会直接或间接地使用这款工具。而阿帕奇 Log4j2 组件中的一个重大安全漏洞可能导致设备远程受控,进而引发敏感信息窃取、设备服务中断等严重危害,属于高危漏洞,正因如此,此次漏洞危险波及范围极广,覆盖了 IT 通信 ( 互联网 ) 、高校、工业制造、金融、医疗卫生、运营商等大量的行业和领域。
业界将其称之为堪比 2017 年 " 永恒之蓝 " 的史诗级安全漏洞。2017 年 4 月,黑客团体 Shadow Brokers 公布了一大批网络攻击工具,其中最为突出的便是 " 永恒之蓝 " 工具。
这款工具利用 Windows 系统的 SMB 漏洞,可以获取系统的最高权限。不法分子通过 " 永恒之蓝 " 工具制作了 wannacry 勒索病毒,攻击了英国、俄罗斯、整个欧洲等地区的多个高校、大型企业机构的网络系统,并向被攻击者勒索高额赎金才予以解密恢复文件。
也有消息报道称,由于 Apache?Log4j2 在各大交易所、钱包、DeFi 项目中广泛使用,攻击者几乎立即开始利用该漏洞进行非法的加密货币挖掘,或利用互联网上的合法计算资源来产生加密货币以获取经济利益,
根据《网络产品安全漏洞管理规定》,网络产品提供者应当及时向平台报送相关漏洞信息,鼓励漏洞收集平台和其他发现漏洞的组织或个人向平台报送漏洞信息。
综合多个报道信息可以发现,对于如此高危害级别的安全漏洞,阿里云虽然发现了漏洞并反馈给了软件所有方阿帕奇软件基金会,但在网络安全威胁信息共享平台的上报流程上出现了问题。
今年11月,工业和信息化部网络安全管理局、公安部刑事侦查局联合约谈阿里云、百度云两家企业相关负责人,通报了近期两家企业在防范治理电信网络诈骗工作中存在的接入涉诈网站数量居高不下等问题,要求两家企业切实履行网络与信息安全主体责任,严格落实《网络安全法》等法律法规要求,对相关问题限期予以整改;拒不整改或整改不到位的,将依法依规从严惩处。两家企业表示将认真落实监管要求,进一步加强网站接入、域名注册、信息服务等管理,切实防范化解电信网络诈骗风险。