來源:獨角鯨科技
因發現安全漏洞后的處理問題,近日阿里云引發了一波輿論。
據媒體報道,11月24日,阿里云安全團隊向美國開源社區Apache(阿帕奇)報告了其所開發的組件存在安全漏洞。12月22日,因發現Apache Log4j2組件嚴重安全漏洞隱患后,未及時向電信主管部門報告,阿里云被暫停作為工信部網絡安全威脅信息共享平臺合作單位6個月。
12月23日,阿里云在官方微信公號表示,其一名研發工程師發現Log4j2 組件的一個安全bug,遂按業界慣例以郵件方式向軟件開發方Apache開源社區報告這一問題請求幫助,“隨后,該漏洞被外界證實為一個全球性的重大漏洞。阿里云因在早期未意識到該漏洞的嚴重性,未及時共享漏洞信息。”
“之前發現這樣的漏洞都是直接通知軟件開發方,這確實屬于行業慣例,但是《網絡產品安全漏洞管理規定》出臺后,要求漏洞要同時通報給國家主管部門。由于上述法案頒布的時間不是很長,我覺得漏洞的發現者,最開始也未必能評估到漏洞影響的范圍這么大。所以嚴格來說,這個處理不算冤,但處罰其實也沒有那么嚴格,一不罰錢,二不影響做業務。””某安全公司技術總監鄭陸(化名)告訴貝殼財經記者。
01
漏洞影響有多大?
那么,如何理解Log4j2漏洞的嚴重程度呢?
安全公司奇安信將Apache Log4j2漏洞的CERT風險等級定為“高危”,奇安信描述稱,Apache Log4j 是 Apache 的一個開源項目,通過定義每一條日志信息的級別,能夠更加細致地控制日志生成過程,“Log4j2中存在JNDI注入漏洞,當程序將用戶輸入的數據進行日志記錄時,即可觸發此漏洞,成功利用此漏洞可以在目標服務器上執行任意代碼。”
安域云防護的監測數據顯示,截至12月10日中午12點,已發現近1萬次利用該漏洞的攻擊行為。據了解,該漏洞影響范圍大,利用方式簡單,攻擊者僅需向目標輸入一段代碼,不需要用戶執行任何多余操作即可觸發該漏洞,使攻擊者可以遠程控制受害者服務器,90%以上基于java開發的應用平臺都會受到影響。
“Apache Log4j RCE 漏洞之所以能夠引起安全圈的極大關注,不僅在于其易于利用,更在于它巨大的潛在危害性。當前幾乎所有的技術巨頭都在使用該開源組件,它所帶來的危害就像多米諾骨牌一樣,影響深遠。”奇安信安全專家對貝殼財經記者表示。
“這個漏洞嚴重性在于兩點,一是log4j作為java日志的基礎組件使用相當廣泛,Apache和90%以上的java應用受到影響。二是這個漏洞的利用入口非常多,幾乎達到了(只要)是這個漏洞影響的范圍,只要有輸入的地方就受到影響。用戶或者攻擊者直接可以輸入的地方比如登錄用戶名、查詢信息、設備名稱等等,以及一些其他來源的被攻擊者污染的數據來源比如網上一些頁面等等。”從事多年漏洞挖掘的安全行業老兵,網友“yuange1975”在微博發文稱。
“簡而言之,該漏洞算是這幾年來最大的漏洞了。”鄭陸表示。
在“yuange1975”看來,該漏洞出來后,因為影響太廣泛,IT圈都在加班加點修補漏洞。不過,一些圈子里發文章為了說明這個漏洞的嚴重性,又有點用了過高評價這個漏洞的詞語,“我不否認這個漏洞很嚴重,肯定是排名很靠前的漏洞,但是要說是有史以來最大的網絡漏洞,就是說目前所有已經發現公布的漏洞里排第一,這顯然有點夸大了。”
“log4j漏洞發現者恐怕發現漏洞時對這個漏洞認識不足,這個應用的范圍以及漏洞觸發路徑,我相信一直到阿里云上報完漏洞,恐怕漏洞發現者都沒完全明白這個漏洞的真正嚴重性,有可能當成了Apache下一個普通插件的一個漏洞。”yuange1975表示。
02
9月1日起施行新規
專家:對于維護國家網絡安全具有重大意義
據了解,業界的開源條例遵循的是《負責任的安全漏洞披露流程》,這份文件將漏洞披露分為5個階段,依次是發現、通告、確認、修復和發布。發現漏洞并上報給原廠商,是業內常見的程序漏洞披露的做法。
貝殼財經記者觀察到,白帽黑客建立漏洞發現與收集的平臺并告知企業的做法一度在圈內流行。根據《財經天下》的報道,把漏洞報給原廠商而不是平臺方,也會有潛在的好處。包括微軟、蘋果和谷歌在內的廠商對報告漏洞的人往往會有獎勵,“最高的能給到十幾萬美元”。更重要的是名譽獎勵。幾乎每一家廠商對第一個報告漏洞的人或者集體,都會公開致謝。“對于安全研究人員而言,這種名聲也會讓他們非常在意。
不過,今年9月1日后,這一行業“常見程序”就要發生變化。
7月13日,工信部、國家網信辦、公安部印發《網絡產品安全漏洞管理規定》,要求任何組織或者個人設立的網絡產品安全漏洞收集平臺,應當在兩日內向工業和信息化部網絡安全威脅和漏洞信息共享平臺報送相關漏洞信息。該規定自2021年9月1日起施行。
值得注意的是,《規定》中也有漏洞發現者需要向產品相關提供者通報的條款。如《規定》第七條第一款顯示,發現或者獲知所提供網絡產品存在安全漏洞后,應當立即采取措施并組織對安全漏洞進行驗證,評估安全漏洞的危害程度和影響范圍;對屬于其上游產品或者組件存在的安全漏洞,應當立即通知相關產品提供者。第七條第七款則表示,不得將未公開的網絡產品安全漏洞信息向網絡產品提供者之外的境外組織或者個人提供。
奇安信集團副總裁、補天漏洞響應平臺主任張卓在接受新京報貝殼財經記者采訪時表示,《網絡產品安全漏洞管理規定》釋放了一個重要信號:我國將首次以產品視角來管理漏洞,通過對網絡產品漏洞的收集、研判、追蹤、溯源,立足于供應鏈全鏈條,對網絡產品進行全周期的漏洞風險跟蹤,實現對我國各行各業網絡安全的有效防護。在供應鏈安全威脅日益嚴重的全球形勢下,《規定》對于維護國家網絡安全,保護網絡產品和重要網絡系統的安全穩定運行,具有重大意義。
張卓表示,《規定》第十條指出,任何組織或者個人設立的網絡產品安全漏洞收集平臺,應當向工業和信息化部備案。同時在第六條中指出,鼓勵相關組織和個人向網絡產品提供者通報其產品存在的安全漏洞,還“鼓勵網絡產品提供者建立所提供網絡產品安全漏洞獎勵機制,對發現并通報所提供網絡產品安全漏洞的組織或者個人給予獎勵。”這兩條規定規范了漏洞收集平臺和白帽子的行為,有利于讓白帽子在合法合規的條件下發揮更大的社會價值。
