工信部处罚阿里云!发现安全漏洞先报美国,阿里第二发动机停摆(组图)
阿里云发现的核弹级别的系统漏洞,第一反应不是上报工信部,而是报给了国外。过了半个月,工信部收到报告才知道......
阿里云被工信部暂停合作
12月22日,工业和信息化部网络安全管理局通报称,阿里云被暂停工信部网络安全威胁信息共享平台合作单位6个月。
公告显示,阿里云发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。经研究,现暂停阿里云公司作为上述合作单位6个月。暂停期满后,根据阿里云整改情况,研究恢复其上述合作单位。
据了解,阿帕奇(Apache)Log4j2组件是基于Java语言的开源日志框架,被广泛用于业务系统开发。该漏洞可能导致设备远程受控,进而引发敏感信息窃取、设备服务中断等严重危害,属于高危漏洞。
这个漏洞究竟有多恐怖,举个例子,攻击者可以利用漏洞远程执行代码,最终获得服务器的最高权限。相当于,我在你家,想干什么,就干什么。
一位业内人士这样戏称,这个漏洞的严重性堪称今年之最,灾难等级为核弹级。这次事件几乎波及了所有互联网大厂,面对着核弹级别的漏洞,全网颤抖,各家公司领导都非常重视,“安全人”全体加班,积极更换jar包,升级版本,第一时间防御住漏洞利用,场面真的热闹非凡。甚至连网警都出动,通知各大公司和站长。
但早早发现这事的阿里云,在发现以后,第一时间的反应,不是上报工信部,而是把这个漏洞告诉了国外。
提前15天就发现了漏洞
其实,早在11月24日,阿里云的安全团队就发现了该漏洞,但没有选择上报工信部,而是把漏洞报告给了美国 Apache 官方。
随后,在12月7日,Apache官方发布了针对此漏洞的补丁版(log4j-2.15.0-rc1),但这个补丁版并没能起到多大的作用,在12月9日,开始有程序员发现,网络中出现了大量利用此漏洞的攻击行为。
到这个时候,工信部才知道,阿帕奇Log4j2组件存在重大安全漏洞,立即组织有关网络安全专业机构开展漏洞风险分析,召集阿里云、网络安全企业、网络安全专业机构等开展研判,通报督促阿帕奇软件基金会及时修补该漏洞,向行业单位进行风险预警。
要知道,根据工信部、网信办、公安部《关于印发网络产品安全漏洞管理规定的通知》中,明确规定,应当在2日内,向工业和信息化部、网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括,存在网络产品安全漏洞的产品名称、型号、版本,以及漏洞的技术特点、危害和影响范围等。
也就是说,当发现漏洞的第一时间,你可以报给Apache,但同时也要报给工信部。而阿里,隔了半个月还没上报,是工信部自己发现的,这就有点离谱了,也难怪工信部处罚它。
网友:甚至觉得处罚太轻了
如今,阿里云被工信部点名批评,但很多网友却表达了不满,不是因为别的,而是觉得,处罚太轻了。
有网友表示,要知道,这个核弹级的漏洞,你阿里云提前半个月发现了,但是就一直不上报给工信部,若这要是被国外黑客利用,后果不堪设想。
之前美国就曾出现过类似的事件,在2020年12月,美国SolarWinds公司的Orion软件更新服务器上,存在一个被感染的更新程序,导致美国财政部系统等约18000家关键基础设施、联邦机构和企业受到影响,部分受影响设备甚至可由攻击者完全操控。
还有网友表示,漏洞最怕的就是打时间差进行攻击。网络战争和现实战争最大的差别就是,不需要调兵遣将,准备时间可以忽略不计。分分钟,看不到摸不到的网络攻击就有可能从大洋彼岸到达种花家。在漏洞被公开的时候,说不准哪个科研院所或者核心部位已经被入侵过了。
以2017年的永恒之蓝为例,这种工具可以通过漏洞获取系统最高权限,不法分子利用“永恒之蓝”制作了wannacry勒索病毒,对英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网进行攻击,勒索支付高额赎金才能解密恢复文件。
阿里的第二发动机
如今,阿里云可谓是阿里巴巴的第二发动机。
根据阿里最新发布财报显示,今年三季度,阿里云营收达200亿元,比上一财年150亿元收入大幅增长33%。同时,阿里云历经十多年投入,实现稳定盈利。该季度内,经调整EBITA利润3.96亿元,是阿里云连续第四个季度实现盈利。
对比历史数据,2015财年,阿里巴巴首次披露云计算营收,当年阿里云全年收入为12.71亿元,到2021财年一季度营收200亿元,成长性可见一斑。并且,阿里云的营收,已经仅次于中国零售商业,是名副其实的阿里第二引擎。
此外,阿里云在海外市场上获得了高速增长。数据显示,过去三年间,阿里云的海外市场规模增长了10倍以上。随着市场规模扩大,阿里云的海外基础设施布局愈加紧密,今年将在韩国及泰国新增两座云数据中心,以支持当地爆发的数字化需求。
截至目前,阿里云已在马来西亚、新加坡、印尼、菲律宾、日本、德国、迪拜、美国等25个地域建立了数百座云数据中心,是亚洲规模最大的云计算平台。据Gartner,阿里云是全球第三、亚太第一的云计算服务商,在全球市场上实现连续五年份额扩大。
问题不断的阿里云
但是,即使做得这么大,阿里云还是老出问题,光是今年就已经被约谈了两次。
今年8月,据浙江省通信管理局通报,经调查核实,2019年11月11日阿里云计算有限公司未经用户同意擅自将用户留存的注册信息泄露给第三方合作公司,已责令阿里云计算有限公司改正。
今年11月,工业和信息化部网络安全管理局、公安部刑事侦查局联合约谈阿里云、百度云两家企业相关负责人,通报了近期两家企业在防范治理电信网络诈骗工作中存在的接入涉诈网站数量居高不下等问题,要求两家企业切实履行网络与信息安全主体责任,严格落实《网络安全法》等法律法规要求,对相关问题限期予以整改;拒不整改或整改不到位的,将依法依规从严惩处。
此次事件,工信部对阿里的处罚,更多的其实是让大家对于网络安全、和网络信息的保密性更加重视。为什么工信部要和各大互联网公司,一起弄一个网络安全威胁信息共享平台,就是因为安全信息的送达是分秒必争的,如果安全漏洞在被发现之后先被攻击者知晓,就会造成不可挽回的损失。
而阿里云,却因为自身疏忽没好好配合,尽到自己合作方的义务。如今被罚,也是自作自受了。