據媒體報道，工信部網絡安全管理局通報稱，阿里云發現Apache Log4j2組件嚴重安全漏洞隱患后，未及時向電信主管部門報告，未有效支撐工信部開展網絡安全威脅和漏洞管理。阿里云是工信部網絡安全威脅信息共享平臺合作單位。經研究，現暫停阿里云公司作為上述合作單位6個月。暫停期滿后，根據阿里云公司整改情況，研究恢復其上述合作單位。

Apache Log4j2作為阿帕奇軟件基金會旗下的一款日志紀錄工具，是基于Java語言的開源日志框架，被廣泛用于業務系統開發。

工信部網絡安全管理局曾在12月17日發布了《關于阿帕奇Log4j2組件重大安全漏洞的網絡安全風險提示》。其中指出，阿里云在近日發現Apache Log4j2組件存在遠程代碼執行漏洞，并將漏洞情況告知阿帕奇軟件基金會。12月9日，工信部網絡安全威脅和漏洞信息共享平臺收到有關網絡安全專業機構報告，Apache Log4j2組件存在嚴重安全漏洞。

隨后，工信部立即組織有關網絡安全專業機構開展漏洞風險分析，召集阿里云、網絡安全企業、網絡安全專業機構等開展研判，通報督促阿帕奇軟件基金會及時修補該漏洞，向行業單位進行風險預警。

這個漏洞被命名為Log4Shell，是一個非常基礎的日志庫漏洞。由于Log4j2組件使用量很大，幾乎所有的java程序都會涉及，所以影響面很大。同時，漏洞利用復雜度低，一旦利用成功，可能導致設備遠程受控，進而引發敏感信息竊取、設備服務中斷等嚴重危害，造成的危害和損失不可預估。

據相關媒體報道稱，比利時國防部網絡最近受到不明攻擊者的成功攻擊，攻擊者利用Apache log4j2的巨大漏洞實施攻擊。

不僅是政府，還有企業也是攻擊的對象，只要使用JAVA開發的基本上都會受到影響。同時個人用戶受到攻擊的案例也已經出現。

“目前來看，是阿里更早發現了這個漏洞，并將問題反饋給了阿帕奇基金會，之后阿帕奇為Log4j發布了新版補丁修復。但是，阿里云沒有及時去向工信部申報。主要錯誤在于沒有重視上報流程和申報漏洞。”有業內人士表示。

根據今年9月1日施行的工信部、國家網信辦、公安部聯合印發的《網絡產品安全漏洞管理規定》，網絡產品提供者應在發現漏洞的2日內向工業和信息化部報送漏洞信息，并及時進行修補，將修補方式告知可能受影響的產品用戶。

據此前報道，阿里云安全團隊于11月24日向阿帕奇軟件基金會提交了Log4j 漏洞郵件。而根據公告，工信部是12月9日才收到上述漏洞的報告，距離阿里云首次發現已經過去了2個星期。

及時掌握網絡安全態勢 盡在傻蛋網絡安全監測系統

【網絡安全監管部門】免費試用

本文來源:科創板日報

如涉及侵權，請及時與我們聯系，我們會在第一時間刪除或處理侵權內容。
電話：400-869-9193 負責人：張明