阿里云被暫停工信部網絡安全威脅信息共享平臺合作單位

漏洞砸中阿里云：一次行業警示

近日，有媒體報道，阿里云發現阿帕奇Log4j2組件有安全漏洞，但未及時向電信主管部門報告，未有效支撐工信部開展網絡安全威脅和漏洞管理。因此，暫停阿里云作為上述合作單位 6 個月。

原本一個技術圈子的事情因此成為社會熱議話題。一時間網友分化為了兩個圈子——
非技術圈的人說：感覺阿里云只報給阿帕奇這個技術社區，不上報組織，是沒把國家安全放心上。

技術圈層說：當然是誰寫的bug報給誰，阿帕奇的安全漏洞，報給阿帕奇是應該的，不能上綱上線。

23日晚間，阿里云就log4j2漏洞發布了說明，誠懇認錯，表示要強化漏洞報告管理、提升合規意識，積極協同各方共同做好網絡安全防范工作。

回顧這個非常技術的話題，有諸多事實需要厘清。

首先，阿帕奇開源社區是什么？Log4j2組件是什么？

阿帕奇是國際上比較有影響力的一個開源社區。官網上顯示，華為、騰訊、阿里等中國公司是這個開源社區的主要貢獻者，另外也包括谷歌、微軟等美國企業。全球的軟件工程師，在這里共建一些基礎的軟件部件，相互迭代、提高公共效率，是軟件產業的一個特有現象。

本次發現漏洞的Log4j2 就是開源社區阿帕奇旗下的開源日志組件，很多企業都會會用這個組件來開發自己的系統。在阿里云的工程師發現這個組件有問題的時候，就郵件詢問了阿帕奇，請社區確認這是否是一個漏洞、評估影響范圍。

而后阿帕奇確認這是一個漏洞，并通知開發者們修補這個漏洞。于是，出現了天涯共此時，一起改漏洞的局面。

但阿里云遺漏了不久前上線的一個官方上報平臺，僅僅按業界的慣例向以郵件方式向軟件開發方Apache開源社區報告這一問題請求幫助。

其次，工信部暫停阿里云6個月合作單位資格，意味著什么？

據工信微報——「12月9日，工業和信息化部網絡安全威脅和漏洞信息共享平臺收到有關網絡安全專業機構報告，阿帕奇Log4j2組件存在嚴重安全漏洞。工業和信息化部立即組織有關網絡安全專業機構開展漏洞風險分析，召集阿里云、網絡安全企業、網絡安全專業機構等開展研判，通報督促阿帕奇軟件基金會及時修補該漏洞，向行業單位進行風險預警。」

媒體報道的暫停6個月合作單位資格，并未出現在公開渠道。據業內人士分析，這并不是一個嚴格意義上的“處罰”，否則不可能不公開通報。其次，網絡安全威脅和漏洞信息共享平臺是一個收集、通報網絡安全漏洞的平臺，暫停這個平臺的合作資質并不對業務造成影響。

但此次事件，從側面體現了計算機行業中普遍存在的意識疏漏。在國內計算機行業幾十年的發展過程中，大量從業人員、組織養成了與開源社區合作的工作習慣，但對更高層面的安全意識、合規意識，在思想上、制度上都有所不足。阿里云的漏報行為，也是這一意識疏漏的一次具體體現。

整體而言，此次事件對行業的影響是正面的，這是一次警示、也是一次示范。阿里云是行業領先的IT企業，這也是能夠率先發現全球重大安全漏洞的原因，而此次事件的發生，無疑將會增強計算機行業的安全合規意識，可以想見，無論是阿里云、還是其他諸多科技企業，都將在企業和組織內部增強合規培訓和流程規范。

信息共享平臺的意義本來就是你知道有漏洞了上報，平臺分享給其他成員，大家都能及時得到通知。這次問題是，一方面在那收別人的信息，自己發現的反而沒報告，這就出問題了，暫停自然就是為這個事情的警告。
安全漏洞這種事情為什么需要有信息共享平臺，因為安全信息的送達是分秒必爭的，如果安全漏洞在被發現之后先被攻擊者知曉，就會造成不可挽回的損失，所以有必要有專門的通知渠道，保證在漏洞被廣泛揭曉之前，先給關鍵服務提供商修復的機會，國家主導的平臺就是為了確保有個盡量可信的送達機制能讓這樣的信息在盡可能保密的情況下盡快送達各個合作方。
阿里云因為自身疏忽沒好好配合，那不就是沒有盡到合作方義務嗎？安全漏洞研究是必須要遵循工作流程規范的，如果工作沒做好，反而會讓攻擊者有可乘之機。

因為log4j2作為java生態軟件基礎組件，所以這次漏洞的影響是核彈級的，堪稱web漏洞屆的永恒之藍。
首先，我們先來梳理一下log4j2漏洞從發現到爆發的時間線：
2021年11月24日: 阿里云安全團隊向Apache 官方提交ApacheLog4j2遠程代碼執行漏洞（CVE-2021-44228）
2021年12月8日: Apache Log4j2官方發布安全更新log4j2-2.15.0-rc1，
2021年12月9日: 天融信阿爾法實驗室晚間監測到poc大量傳播并被利用攻擊
2021年12月10日: 天融信阿爾法實驗室于10日凌晨發布Apache Log4j2 遠程代碼執行漏洞預警，并于當日發布Apache Log4j2 漏洞處置方案
2021年12月10日: 同一天內，網絡傳出log4j2-2.15.0-rc1安全更新被繞過，天融信阿爾法實驗室第一時間進行驗證，發現繞過存在，并將處置方案內的升級方案修改為log4j2-2.15.0-rc2
2021年12月15日：天融信阿爾法實驗室對該漏洞進行了深入分析并更新修復建議。

從時間線來看，阿里云工程師是遵從國際通行的安全漏洞上報流程第一時間上報的，并且取得了CVE的ID編號。
這里需要簡單介紹一下CVE。CVE 的英文全稱是“Common Vulnerabilities & Exposures”通用漏洞披露。CVE就好像是一個字典表，為廣泛認同的信息安全漏洞或者已經暴露出來的弱點給出一個公共的名稱。而CVE背后是一套國際上運行了二十多年的成熟而有效的標準管理組織和機制。所以安全漏洞從發現，到提交，審核，評估，命名，到公開，正式發布，再評估，撤銷等都有完整的運行流程。
至于公開漏洞會不會被攻擊者利用，安全專家們也是有過充分討論的。我們直接聽結論，就是公布的益處遠大于弊端。其實這可以理解，因為世界上大部分軟件對于外人來說都是個黑盒子，只有開發者自己最清楚項目里用了哪些技術和組件。只有把漏洞和解決方法公之于眾，開發者們才好展開自查。而且即便不公布，黑客們也未必就不知道，可能正在哪個角落運用這個漏洞探測哪些項目有可乘之機呢。

當然我相信作為國內最權威的網絡安全共享平臺，他們不可能在Apache發布了漏洞之后還視若罔聞而貽誤了修補應對。只是阿里云作為工信部網絡安全威脅信息共享平臺的成員，有義務按平臺的規定上報工信部，去履行一個組織的規章流程。
所以從這個角度來看，受罰并不冤枉。只是我查了一下，我們工信部這個網絡安全威脅和漏洞信息平臺始建于今年八月份，成員還不足四十家企業。我覺得暫停阿里云的合作單位資格，從這個平臺組織的完善和發展來看，是不太有利的。