阿里云發(fā)現核彈級漏洞，第一時間報告美國，工信部暫停合作6個月

12月22日，中國日報官微發(fā)布消息：工信部相關人士向記者確認，因發(fā)現嚴重漏洞未及時報告，阿里云計算有限公司（阿里云）被暫停工信部網絡安全威脅信息共享平臺合作單位6個月。

本次事件系統漏洞為阿帕奇（Apache）Log4j2組件存在的遠程代碼執(zhí)行漏洞，工信部網站發(fā)布了《關于阿帕奇Log4j2組件重大安全漏洞的網絡安全風險提示》的通告。

通告中提示該漏洞可能導致設備遠程受控，進而引發(fā)敏感信息竊取、設備服務中斷等嚴重危害，屬于高危漏洞。一位業(yè)內人士稱這個漏洞的嚴重性堪稱今年之最，災難等級為核彈級。面對著核彈級別的漏洞，幾乎所有互聯網大廠都在顫抖，一眾負責網絡安全的程序員通宵加班，積極更換jar包，升級版本，就是為了防御住漏洞利用。

那么這個安全漏洞跟阿里云有什么關系，為什么工信部要暫停阿里云作為網絡安全威脅信息共享平臺合作單位6個月呢。

11月24日，阿里云的安全團隊在工作中發(fā)現了該漏洞，根據工信部、網信辦、公安部《關于印發(fā)網絡產品安全漏洞管理規(guī)定的通知》中，明確規(guī)定，應當在2日內，向工業(yè)和信息化部、網絡安全威脅和漏洞信息共享平臺報送相關漏洞信息。報送內容應當包括，存在網絡產品安全漏洞的產品名稱、型號、版本，以及漏洞的技術特點、危害和影響范圍等。但是作為工信部網絡安全威脅信息共享平臺合作單位的阿里云第一時間將漏洞相關信息報給了美國 Apache 官方，卻沒有報給工信部。

12月9日，在網上出現了大量利用此漏洞的攻擊行為。這時工信部才發(fā)現這個嚴重漏洞，也就是說從11月24日到12月9日，半個月的時間內，作為工信部網絡安全合作單位的阿里云都沒向工信部報告過此漏洞。這就很離譜了，這種行為跟戰(zhàn)場上背后捅刀子無異嘛。

不知道大家是否還記得2017年的“永恒之藍”勒索病毒，那次事件，閱文君切實感受到了被病毒支配的恐懼，當天，閱文君在幫某單位配置調試其準備推廣的一個業(yè)務系統，而且是在內網調試，跟互聯網物理隔離的那種。正當閱文君一邊吃著單位小妹給的零食，一邊調試系統時，duang，系統藍屏了，那感覺就是吃著火鍋還唱著歌，結果duang，突然就被麻匪劫了!起初，以為是不兼容引起的小故障，結果在嘗試修復，重啟等操作均無效后漸漸發(fā)現了不對，面對桌面出現的提示，以及單位小妹所在的系統推廣群里其他省市也反應出現了相同問題的消息。閱文君漸漸消失。之后網上就爆出了“永恒之藍”勒索病毒在全球爆發(fā)的相關信息，包括英國、俄羅斯、整個歐洲以及中國國內多個高校校內網、大型企業(yè)內網和政府機構專網中招，該病毒也成為了迄今為止全球最大規(guī)模的勒索病毒網絡攻擊。被勒索支付高額贖金才能解密恢復文件，對重要數據造成嚴重損失。

當前，網絡已經高速發(fā)展到“元宇宙”這種科幻概念都快要實現今天，網絡安全問題也愈發(fā)重要，但是作為在國內網絡安全領域首屈一指的阿里云卻沒起好帶頭作用，在本次被處罰之前，今年8月就因未經用戶同意擅自將用戶留存的注冊信息泄露給第三方合作公司的行為被浙江省通信管理局通報，11月，又因在防范治理電信網絡詐騙工作中存在的接入涉詐網站數量居高不下的問題被工業(yè)和信息化部網絡安全管理局、公安部刑事偵查局聯合約談。

在這暫停合作的6個月內，阿里云是時候反思一下自身的問題了。