原标题：阿里云回应未及时报告重大漏洞：早期未意识到严重性

23日，阿里云在官方微信公众号发布关于开源社区Apache log4j2漏洞情况的说明。

说明称，阿里云因在早期未意识到该漏洞的严重性，未及时共享漏洞信息。

阿里云表示，Log4j2 是开源社区阿帕奇(Apache)旗下的开源日志组件，被全世界企业和组织广泛应用于各种业务系统开发。

阿里云称，近日，阿里云一名研发工程师发现Log4j2 组件的一个安全bug，遂按业界惯例以邮件方式向软件开发方Apache开源社区报告这一问题请求帮助。

Apache开源社区确认这是一个安全漏洞，并向全球发布修复补丁。

随后，该漏洞被外界证实为一个全球性的重大漏洞。

阿里云表示，因在早期未意识到该漏洞的严重性，未及时共享漏洞信息。

阿里云将强化漏洞管理、提升合规意识，积极协同各方做好网络安全风险防范工作。

最近，一则处罚通知在白帽子圈“刷屏”。

这则落款为工信部网络安全管理局的通报显示，阿里云计算有限公司（简称阿里云）发现阿帕奇（Apache）Log4j2组件严重安全漏洞隐患后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理，经研究，工信部网络安全管理局决定暂停阿里云作为工信部网络安全威胁信息共享平台合作单位6个月。

这则通报让一个已搅动安全圈半个月的“超级漏洞”呈现在世人面前。

据《IT时报》记者了解，阿帕奇漏洞危害堪比“永恒之蓝”，影响服务器可达数亿台，亚马逊、NSA、谷歌、苹果、Steam、推特等大型互联网公司均可能受其影响。

同时，黑产已蠢蠢欲动，一些利用阿帕奇漏洞注入勒索病毒的攻击已经开始，如比利时国防部已确认，因遭遇 Apache Log4j 攻击，部分计算机网络处于瘫痪状态。

01 危害堪比“永恒之蓝”

“互联网破了个洞。”一家安全媒体对此次Apache Log4j 漏洞的影响如此定义。

根据工信部12月17日发布的《关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示》介绍，阿帕奇（Apache）Log4j2组件是基于Java语言的开源日志框架，被广泛用于业务系统开发，被发现的漏洞是远程代码执行漏洞，该漏洞可能导致设备远程受控，进而引发敏感信息窃取、设备服务中断等严重危害，属于高危漏洞。

“攻击者仅需一段代码就可远程控制受害者服务器。”据奇安信相关人士介绍，该漏洞利用方式十分简单，不需要用户执行任何多余操作即可触发该漏洞，90%以上基于java开发的应用平台都会受到影响，这意味着几乎所有行业都会受到该漏洞影响，包括苹果、三星、Steam等在内的全球知名科技公司和电商网站的云服务都可能受到影响。

阿帕奇软件基金会将这一漏洞的严重性列为最高，有专家表示，漏洞波及面和危害程度均堪比 2017年的“永恒之蓝”漏洞。

当年，黑客团体公布了大批包括“永恒之蓝”在内的网络攻击工具，之后又有黑客将“永恒之蓝”改造成wannacry勒索病毒，一旦用户进行网络连接，不需要做任何操作就可以令攻击者植入远程控制木马、勒索软件、虚拟货币挖矿机等恶意程序。

“永恒之蓝”的发生，对全球大型企业、机构政府产生了灾难性的打击。

基于Apache Log4j漏洞而被攻击的公司会受什么影响？

一位白帽子悲观地向《IT时报》记者表示，黑客可利用该漏洞直接获得目标机器的最高权限（root权限），一旦服务器被攻击，基本等于“房门大开”，所有“坏结果”都可能产生。

更糟糕的是，这个漏洞是0day漏洞（零日漏洞），也即被发现时，官方还没有相关补丁，如果被黑产抓住时间差发起进攻，往往会有很大的突发性和破坏性。

12月9日消息传出后，安全圈“地震”，据说有安全人员被连夜叫回公司加班开发解决方案。

与此同时，黑客集团也在和白帽子赛跑。

据奇安信介绍，12月9日深夜，仅一小时便收到白帽子提交的百余条该漏洞信息，到第二天10日中午12点，已发现近1万次利用该漏洞的攻击行为。

02 阿里云预警迟到被处罚

“阿里云被罚，应该是《网络产品安全漏洞管理规定》（以下简称《规定》）实施后，第一起根据新规执行的安全事件。”一位白帽子告诉记者。

今年7月13日，工信部、国家互联网信息办公室、公安部联合发布《网络产品安全漏洞管理规定》，对漏洞的发现、报告、修补和发布等行为做了明确规范，《规定》与《数据安全法》一起于9月1日起施行。

《IT时报》记者查阅《规定》发现，其中第七条写明：网络产品提供者发现或者获知所提供网络产品存在安全漏洞后，应当立即采取措施并组织对安全漏洞进行验证，评估安全漏洞的危害程度和影响范围；对属于其上游产品或者组件存在的安全漏洞，应当立即通知相关产品提供者。

同时，应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台（以下简称平台）报送相关漏洞信息。

从此次漏洞被引爆的时间轴上看，早在11月24日，阿里云的一名程序员发现了这一漏洞，并通知了开发Log4j2组件的公司阿帕奇，但并没有根据《规定》在2日内向工信部平台报送相关信息。

随后，阿帕奇软件基金会位于奥地利和新西兰的官方计算机应急小组，开始对该漏洞展开追踪，并率先发布了相关问题的全球预警。

中国官方得到的消息应该是12月9日-10日。工信部网络安全管理局《关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示》中提到，12月9日收到有关网络安全专业机构报告。

《IT时报》记者从国家互联网应急中心发布的一则公告上则看到，12月10日，国家信息安全漏洞共享平台（CNVD）收录了Apache Log4j2远程代码执行漏洞（CNVD-2021-95914），目前，漏洞利用细节已公开，阿帕奇官方已发布补丁修复该漏洞。CNVD建议受影响用户立即更新至最新版本，同时采取防范性措施避免漏洞攻击威胁。

然而，此时距离第一次发现漏洞已经过去半个月。

03 “挖”漏洞合规更重要

“国家对网络漏洞管理进行强监管的背景是，关于网络安全的黑白之争越来越激烈。”在一位安全界人士看来，阿里云此次被罚并不冤，作为中国最大的云服务商，合规意识如此薄弱，的确不应该。

近两年来，发生在安全领域的攻击事件呈直线上升的态势，甚至在全球范围内出现几个规模化、组织化的黑客勒索组织。

今年5月，迫使美国最大的成品油管道运营商Colonial Pipeline关闭了一条关键的运输管道的勒索病毒袭击，便来自一家名为“暗面”（DarkSide）的组织。

这些黑客组织嗅觉灵敏，不但研发软件、培训“下线”，甚至还将勒索袭击当做一门生意运营，专门针对一些重要公司进行定向、高索赔额的病毒攻击。

Apache Log4j2漏洞被公开后，网络安全公司Crowdstrike高级副主席迈耶斯（Adam Meyers）便曾表示，截至美国时间12月10日，黑客已经将漏洞“完全武器化”，还开发出利用该漏洞的攻击工具向外分发。

据上述安全界人士介绍，网络安全公司报告漏洞的传统做法是先通知厂商，然后等厂商打好补丁后，再向社区公开，让所有使用该产品的企业及时修复漏洞。

但从发现漏洞到打好补丁之间毕竟有时间差，很容易被黑客借此打个“闪电战”。

尤其是开源软件，有些程序员习惯性地在开源社区内讨论一些细节，也有可能在不知不觉中被黑客找到机会。

尤其像Log4j2组件漏洞这样的普遍性问题，由于涉及面太广，很难确保这条传统路径可以将信息传递给所有客户。

近两年来，各个国家对于网络、数据安全越发重视，各种相关法规条例相继出台。

和《规定》一样在今年9月1日实施的《数据安全法》第29条也规定：数据处理者发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告。

“无论是安全公司还是云服务商，都应该将这些法规细化为可执行的操作规范，固定下来，但这种合规性要求，对于不少‘草莽’起家的民营白帽子公司是个全新领域，需要好好琢磨。”一位白帽子透露，阿里云被处罚后，公司一直在讨论如何在合规前提下，为客户提供及时有效的安全服务，甚至在考虑转型做一些相对模式较“重”的安全防御，在发现漏洞并上报的时间差里，先第一时间阻断攻击路径，“只是成本肯定会因此上升。”