阿里云回应未及时上报漏洞被处罚 对全球大型企业
01危害堪比“永恒之蓝”“互联网破了个洞。”一家安全媒体对此次ApacheLog4j漏洞的影响如此定义。根据工信部12月17日发布的《关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示》介绍,阿帕奇(Apache)Log4j2组件是基于Java语言的开源日志框架,被广泛用于业务系统开发,被发现的漏洞是远程代码执行漏洞,该漏洞可能导致设备远程受控,进而引发敏
01 危害堪比“永恒之蓝”“互联网破了个洞。
”一家安全媒体对此次Apache Log4j 漏洞的影响如此定义。
根据工信部12月17日发布的《关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示》介绍,阿帕奇(Apache)Log4j2组件是基于Java语言的开源日志框架,被广泛用于业务系统开发,被发现的漏洞是远程代码执行漏洞,该漏洞可能导致设备远程受控,进而引发敏感信息窃取、设备服务中断等严重危害,属于高危漏洞。
“攻击者仅需一段代码就可远程控制受害者服务器。
”据奇安信相关人士介绍,该漏洞利用方式十分简单,不需要用户执行任何多余操作即可触发该漏洞,90%以上基于java开发的应用平台都会受到影响,这意味着几乎所有行业都会受到该漏洞影响,包括苹果、三星、Steam等在内的全球知名科技公司和电商网站的云服务都可能受到影响。
阿帕奇软件基金会将这一漏洞的严重性列为最高,有专家表示,漏洞波及面和危害程度均堪比 2017年的“永恒之蓝”漏洞。
当年,黑客团体公布了大批包括“永恒之蓝”在内的网络攻击工具,之后又有黑客将“永恒之蓝”改造成wannacry勒索病毒,一旦用户进行网络连接,不需要做任何操作就可以令攻击者植入远程控制木马、勒索软件、虚拟货币挖矿机等恶意程序。
“永恒之蓝”的发生,对全球大型企业、机构政府产生了灾难性的打击。
基于Apache Log4j漏洞而被攻击的公司会受什么影响?一位白帽子悲观地向《IT时报》记者表示,黑客可利用该漏洞直接获得目标机器的最高权限(root权限),一旦服务器被攻击,基本等于“房门大开”,所有“坏结果”都可能产生。
更糟糕的是,这个漏洞是0day漏洞(零日漏洞),也即被发现时,官方还没有相关补丁,如果被黑产抓住时间差发起进攻,往往会有很大的突发性和破坏性。
12月9日消息传出后,安全圈“地震”,据说有安全人员被连夜叫回公司加班开发解决方案。
与此同时,黑客集团也在和白帽子赛跑。
据奇安信介绍,12月9日深夜,仅一小时便收到白帽子提交的百余条该漏洞信息,到第二天10日中午12点,已发现近1万次利用该漏洞的攻击行为。
02 阿里云预警迟到被处罚“阿里云被罚,应该是《网络产品安全漏洞管理规定》(以下简称《规定》)实施后,第一起根据新规执行的安全事件。
”一位白帽子告诉记者。
今年7月13日,工信部、国家互联网信息办公室、公安部联合发布《网络产品安全漏洞管理规定》,对漏洞的发现、报告、修补和发布等行为做了明确规范,《规定》与《数据安全法》一起于9月1日起施行。
《IT时报》记者查阅《规定》发现,其中第七条写明:网络产品提供者发现或者获知所提供网络产品存在安全漏洞后,应当立即采取措施并组织对安全漏洞进行验证,评估安全漏洞的危害程度和影响范围;对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品提供者。
同时,应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台(以下简称平台)报送相关漏洞信息。
从此次漏洞被引爆的时间轴上看,早在11月24日,阿里云的一名程序员发现了这一漏洞,并通知了开发Log4j2组件的公司阿帕奇,但并没有根据《规定》在2日内向工信部平台报送相关信息。
随后,阿帕奇软件基金会位于奥地利和新西兰的官方计算机应急小组,开始对该漏洞展开追踪,并率先发布了相关问题的全球预警。
中国官方得到的消息应该是12月9日-10日。
工信部网络安全管理局《关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示》中提到,12月9日收到有关网络安全专业机构报告。
- 标签:
- 编辑:田佳
- 相关文章
-
安徽49人客车翻车 这批考生是明天报到
安徽49人客车翻车驾驶员与4名乘客经抢救无效死亡原标题:安徽合肥一客车发生侧翻5人死亡据安徽省合肥市肥东县公安局通报,4月9日8时5…
-
男子撕毕加索名画 8亿元毕加索名画被撕
原标题:痛惜!美术馆价值1.8亿元毕加索名画被撕,咋回事?事情发生在伦敦的泰特现代美术馆一名男子把一幅价值2千万英镑约合人民币1.8亿…
- 拜登儿子被困亚速营 亨特的毒瘾越发严重
- 丁俊晖年龄 经过激烈的19局较量
- 李闽轩回应艺考作弊 总分为254分
- 权志龙改退伍场所 也为了广大粉丝的安全
- 女子阳了坚称是感冒 到哪儿她都抱着这口锅