近日,阿里云公司发现 Apache Log4j2 组件重大安全漏洞隐患后,未及时向电信主管部门报告,未无效撑持工信部发展网络安全威逼和破绽治理。经钻研,现暂停阿里云公司作为工信部网络安全威逼信息共享平台单干单位 6 个月。暂停期满后,依据阿里云公司整改状况,钻研复原其上述单干单位。
据理解,Apache Log4j2 的破绽由阿里云团队发现。11 月 24 日,阿里云平安团队曾向 Apache 官网报告了 Apache Log4j2 近程代码执行破绽。因为 Log4j2 组件在处理程序日志记录时存在 JNDI 注入缺点,未经受权的攻击者利用该破绽,可向指标服务器发送精心结构的歹意数据,触发 Log4j2 组件解析缺点,实现目标服务器的任意代码执行,取得指标服务器权限。
不过,直到 12 月 9 日,工信部网络安全威逼和破绽信息共享平台才收到无关网络安全业余机构报告 ,组织应答策略并对外颁布危险。12 月 17 日,工信部通报称, 该破绽可能导致设施近程受控,进而引发敏感信息窃取、设施服务中断等严重危害,属于高危破绽。目前,Apache 官网已公布补丁。
据理解,自该破绽公开以来,很多网站如百度等都是此次执行破绽的受害者,很多互联网企业也都连夜做了应急措施。
除本次暂停单干外,往年 11 月,工业和信息化部网络安全管理局、公安部刑事侦查局也曾联结约谈阿里云、百度云两家企业相干负责人,通报了近期两家企业在防备治理电信网络欺骗工作中存在的接入涉诈网站数量居高不下等问题。