阿里云回应未及时上报漏洞被处罚 对全球大型企业

01危害堪比“永恒之蓝”“互联网破了个洞。”一家安全媒体对此次ApacheLog4j漏洞的影响如此定义。根据工信部12月17日发布的《关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示》介绍，阿帕奇（Apache）Log4j2组件是基于Java语言的开源日志框架，被广泛用于业务系统开发，被发现的漏洞是远程代码执行漏洞，该漏洞可能导致设备远程受控，进而引发敏

01 危害堪比“永恒之蓝”“互联网破了个洞。

”一家安全媒体对此次Apache Log4j 漏洞的影响如此定义。

根据工信部12月17日发布的《关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示》介绍，阿帕奇（Apache）Log4j2组件是基于Java语言的开源日志框架，被广泛用于业务系统开发，被发现的漏洞是远程代码执行漏洞，该漏洞可能导致设备远程受控，进而引发敏感信息窃取、设备服务中断等严重危害，属于高危漏洞。

“攻击者仅需一段代码就可远程控制受害者服务器。

”据奇安信相关人士介绍，该漏洞利用方式十分简单，不需要用户执行任何多余操作即可触发该漏洞，90%以上基于java开发的应用平台都会受到影响，这意味着几乎所有行业都会受到该漏洞影响，包括苹果、三星、Steam等在内的全球知名科技公司和电商网站的云服务都可能受到影响。

阿帕奇软件基金会将这一漏洞的严重性列为最高，有专家表示，漏洞波及面和危害程度均堪比 2017年的“永恒之蓝”漏洞。

当年，黑客团体公布了大批包括“永恒之蓝”在内的网络攻击工具，之后又有黑客将“永恒之蓝”改造成wannacry勒索病毒，一旦用户进行网络连接，不需要做任何操作就可以令攻击者植入远程控制木马、勒索软件、虚拟货币挖矿机等恶意程序。

“永恒之蓝”的发生，对全球大型企业、机构政府产生了灾难性的打击。

基于Apache Log4j漏洞而被攻击的公司会受什么影响？一位白帽子悲观地向《IT时报》记者表示，黑客可利用该漏洞直接获得目标机器的最高权限（root权限），一旦服务器被攻击，基本等于“房门大开”，所有“坏结果”都可能产生。

更糟糕的是，这个漏洞是0day漏洞（零日漏洞），也即被发现时，官方还没有相关补丁，如果被黑产抓住时间差发起进攻，往往会有很大的突发性和破坏性。

12月9日消息传出后，安全圈“地震”，据说有安全人员被连夜叫回公司加班开发解决方案。

与此同时，黑客集团也在和白帽子赛跑。

据奇安信介绍，12月9日深夜，仅一小时便收到白帽子提交的百余条该漏洞信息，到第二天10日中午12点，已发现近1万次利用该漏洞的攻击行为。

02 阿里云预警迟到被处罚“阿里云被罚，应该是《网络产品安全漏洞管理规定》（以下简称《规定》）实施后，第一起根据新规执行的安全事件。

”一位白帽子告诉记者。

今年7月13日，工信部、国家互联网信息办公室、公安部联合发布《网络产品安全漏洞管理规定》，对漏洞的发现、报告、修补和发布等行为做了明确规范，《规定》与《数据安全法》一起于9月1日起施行。

《IT时报》记者查阅《规定》发现，其中第七条写明：网络产品提供者发现或者获知所提供网络产品存在安全漏洞后，应当立即采取措施并组织对安全漏洞进行验证，评估安全漏洞的危害程度和影响范围；对属于其上游产品或者组件存在的安全漏洞，应当立即通知相关产品提供者。

同时，应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台（以下简称平台）报送相关漏洞信息。

从此次漏洞被引爆的时间轴上看，早在11月24日，阿里云的一名程序员发现了这一漏洞，并通知了开发Log4j2组件的公司阿帕奇，但并没有根据《规定》在2日内向工信部平台报送相关信息。

随后，阿帕奇软件基金会位于奥地利和新西兰的官方计算机应急小组，开始对该漏洞展开追踪，并率先发布了相关问题的全球预警。

中国官方得到的消息应该是12月9日-10日。

工信部网络安全管理局《关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示》中提到，12月9日收到有关网络安全专业机构报告。