12月22日���,中國(guó)日?qǐng)?bào)官微發(fā)布消息:工信部相關(guān)人士向記者確認(rèn),因發(fā)現(xiàn)嚴(yán)重漏洞未及時(shí)報(bào)告�,阿里云計(jì)算有限公司(阿里云)被暫停工信部網(wǎng)絡(luò)安全威脅信息共享平臺(tái)合作單位6個(gè)月。
12月22日�����,中國(guó)日?qǐng)?bào)官微發(fā)布消息:工信部相關(guān)人士向記者確認(rèn)����,因發(fā)現(xiàn)嚴(yán)重漏洞未及時(shí)報(bào)告�����,阿里云計(jì)算有限公司(阿里云)被暫停工信部網(wǎng)絡(luò)安全威脅信息共享平臺(tái)合作單位6個(gè)月�����。
本次事件系統(tǒng)漏洞為阿帕奇(Apache)Log4j2組件存在的遠(yuǎn)程代碼執(zhí)行漏洞�,工信部網(wǎng)站發(fā)布了《關(guān)于阿帕奇Log4j2組件重大安全漏洞的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)提示》的通告。
通告中提示該漏洞可能導(dǎo)致設(shè)備遠(yuǎn)程受控�����,進(jìn)而引發(fā)敏感信息竊取、設(shè)備服務(wù)中斷等嚴(yán)重危害�����,屬于高危漏洞�。一位業(yè)內(nèi)人士稱(chēng)這個(gè)漏洞的嚴(yán)重性堪稱(chēng)今年之最,災(zāi)難等級(jí)為核彈級(jí)��。面對(duì)著核彈級(jí)別的漏洞�,幾乎所有互聯(lián)網(wǎng)大廠都在顫抖,一眾負(fù)責(zé)網(wǎng)絡(luò)安全的程序員通宵加班����,積極更換jar包,升級(jí)版本���,就是為了防御住漏洞利用���。
那么這個(gè)安全漏洞跟阿里云有什么關(guān)系,為什么工信部要暫停阿里云作為網(wǎng)絡(luò)安全威脅信息共享平臺(tái)合作單位6個(gè)月呢�。
11月24日,阿里云的安全團(tuán)隊(duì)在工作中發(fā)現(xiàn)了該漏洞,根據(jù)工信部��、網(wǎng)信辦�、公安部《關(guān)于印發(fā)網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定的通知》中,明確規(guī)定��,應(yīng)當(dāng)在2日內(nèi)�,向工業(yè)和信息化部、網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)報(bào)送相關(guān)漏洞信息����。報(bào)送內(nèi)容應(yīng)當(dāng)包括,存在網(wǎng)絡(luò)產(chǎn)品安全漏洞的產(chǎn)品名稱(chēng)�����、型號(hào)�����、版本��,以及漏洞的技術(shù)特點(diǎn)���、危害和影響范圍等。但是作為工信部網(wǎng)絡(luò)安全威脅信息共享平臺(tái)合作單位的阿里云第一時(shí)間將漏洞相關(guān)信息報(bào)給了美國(guó) Apache 官方,卻沒(méi)有報(bào)給工信部�。
12月9日,在網(wǎng)上出現(xiàn)了大量利用此漏洞的攻擊行為��。這時(shí)工信部才發(fā)現(xiàn)這個(gè)嚴(yán)重漏洞��,也就是說(shuō)從11月24日到12月9日���,半個(gè)月的時(shí)間內(nèi)�����,作為工信部網(wǎng)絡(luò)安全合作單位的阿里云都沒(méi)向工信部報(bào)告過(guò)此漏洞��。這就很離譜了����,這種行為跟戰(zhàn)場(chǎng)上背后捅刀子無(wú)異嘛�����。
不知道大家是否還記得2017年的“永恒之藍(lán)”勒索病毒�,那次事件,閱文君切實(shí)感受到了被病毒支配的恐懼����,當(dāng)天���,閱文君在幫某單位配置調(diào)試其準(zhǔn)備推廣的一個(gè)業(yè)務(wù)系統(tǒng),而且是在內(nèi)網(wǎng)調(diào)試���,跟互聯(lián)網(wǎng)物理隔離的那種�。正當(dāng)閱文君一邊吃著單位小妹給的零食�����,一邊調(diào)試系統(tǒng)時(shí)���,duang�,系統(tǒng)藍(lán)屏了��,那感覺(jué)就是吃著火鍋還唱著歌�,結(jié)果duang,突然就被麻匪劫了!起初��,以為是不兼容引起的小故障�,結(jié)果在嘗試修復(fù)�����,重啟等操作均無(wú)效后漸漸發(fā)現(xiàn)了不對(duì),面對(duì)桌面出現(xiàn)的提示�,以及單位小妹所在的系統(tǒng)推廣群里其他省市也反應(yīng)出現(xiàn)了相同問(wèn)題的消息。閱文君漸漸消失���。之后網(wǎng)上就爆出了“永恒之藍(lán)”勒索病毒在全球爆發(fā)的相關(guān)信息��,包括英國(guó)����、俄羅斯����、整個(gè)歐洲以及中國(guó)國(guó)內(nèi)多個(gè)高校校內(nèi)網(wǎng)、大型企業(yè)內(nèi)網(wǎng)和政府機(jī)構(gòu)專(zhuān)網(wǎng)中招�,該病毒也成為了迄今為止全球最大規(guī)模的勒索病毒網(wǎng)絡(luò)攻擊。被勒索支付高額贖金才能解密恢復(fù)文件��,對(duì)重要數(shù)據(jù)造成嚴(yán)重?fù)p失����。
當(dāng)前,網(wǎng)絡(luò)已經(jīng)高速發(fā)展到“元宇宙”這種科幻概念都快要實(shí)現(xiàn)今天���,網(wǎng)絡(luò)安全問(wèn)題也愈發(fā)重要��,但是作為在國(guó)內(nèi)網(wǎng)絡(luò)安全領(lǐng)域首屈一指的阿里云卻沒(méi)起好帶頭作用�����,在本次被處罰之前�����,今年8月就因未經(jīng)用戶(hù)同意擅自將用戶(hù)留存的注冊(cè)信息泄露給第三方合作公司的行為被浙江省通信管理局通報(bào)����,11月,又因在防范治理電信網(wǎng)絡(luò)詐騙工作中存在的接入涉詐網(wǎng)站數(shù)量居高不下的問(wèn)題被工業(yè)和信息化部網(wǎng)絡(luò)安全管理局���、公安部刑事偵查局聯(lián)合約談��。
在這暫停合作的6個(gè)月內(nèi)�,阿里云是時(shí)候反思一下自身的問(wèn)題了�����。
立即登錄�����,閱讀全文
版權(quán)說(shuō)明:
本文內(nèi)容來(lái)自于百家號(hào),本站不擁有所有權(quán)����,不承擔(dān)相關(guān)法律責(zé)任。文章內(nèi)容系作者個(gè)人觀點(diǎn)�����,不代表快出海對(duì)觀點(diǎn)贊同或支持�����。如有侵權(quán)���,請(qǐng)聯(lián)系管理員(zzx@kchuhai.com)刪除�����!
閩公網(wǎng)安備 35010202001226號(hào)
