安全工信部通报阿里云,未及时上报重大漏洞,国资云建设刻不容缓
中科院云计算中心分布式存储联合实验室特讯: 近期,工信部网络安全管理局通报,暂停阿里云公司作为工信部网络安全威胁信息共享平台合作单位6个月。此次事件源自阿里云发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患报告不及时, 再次为国家数据安全敲响警钟,国资云建设刻不容缓、势在必行。
近期,工业和信息化部网络安全管理局通报称,阿里云计算有限公司(简称“阿里云”)是工信部网络安全威胁信息共享平台合作单位。近日,阿里云公司发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。经研究,现暂停阿里云公司作为上述合作单位6个月。暂停期满后,根据阿里云公司整改情况,研究恢复其上述合作单位。
Apache Log4j 史上最大安全漏洞
先梳理一下阿帕奇严重安全漏洞的时间线:
11月24日
阿里云在阿帕奇(Apache)开放基金会下的开源日志组件Log4j2内,发现重大漏洞Log4Shell,然后向总部位于美国的阿帕奇软件基金会报告。
获得消息后,奥地利和新西兰官方计算机应急小组立即对这一漏洞进行预警。新西兰方面声称,该漏洞正在被“积极利用”,并且概念验证代码也已被发布。
12月9日
中国工信部收到有关网络安全专业机构报告,发现阿帕奇Log4j2组件存在严重安全漏洞,立即召集阿里云、网络安全企业、网络安全专业机构等开展研判,并向行业单位进行风险预警。
12月9日
阿帕奇官方发布紧急安全更新以修复远程代码执行漏洞,漏洞利用细节公开,但更新后的Apache Log4j2.15.0-rc1版本被发现仍存在漏洞绕过。
12月10日
中国国家信息安全漏洞共享平台收录Apache Log4j2远程代码执行漏洞;阿帕奇官方再度发布log4j-2.15.0-rc2版本修复漏洞。
12月10日
阿里云在官网公告披露,安全团队发现Apache Log4j2.15.0-rc1版本存在漏洞绕过,要求用户及时更新版本,并向用户介绍该漏洞的具体背景及相应的修复方案。
12月14日
中国国家信息安全漏洞共享平台发布《Apache Log4j2远程代码执行漏洞排查及修复手册》,供相关单位、企业及个人参考。
12月22日
工信部通报,由于阿里云发现阿帕奇严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理,决定暂停该公司作为工信部网络安全威胁信息共享平台合作单位6个月。
在服务器的组件中,日志组件是应用程序中不可缺少的部分。而其中Apache(阿帕奇)的开源项目log4j是一个功能强大的日志组件,被广泛应用。
由于Apache Log4j存在递归解析功能,未取得身份认证的用户,可以从远程发送数据请求输入数据日志,轻松触发漏洞,最终在目标上执行任意代码。即 攻击者只要提交一段代码,就可以进入对方服务器,而且可以获得最高权限,控制对方服务器。通俗说,黑客通过这个普遍存在的漏洞,可以在服务器上做任何事。
有关报道显示,黑客在72小时内利用Log4j2漏洞,向全球发起了超过84万次的攻击。利用这个漏洞,攻击者几乎可以获得无限的权利——比如他们可以 提取敏感数据、将文件上传到服务器、删除数据、安装勒索软件、或进一步散播到其它服务器。
国外网友以漫画说明Log4j2的重要性
该漏洞CVSS评分达到了满分10分,IT 通信(互联网)、工业制造、金融、医疗卫生、运营商等各行各业都将受到波及,全球互联网大厂、 游戏 公司、电商平台等都有被影响的风险。 比如苹果、亚马逊、Steam、推特、京东、腾讯、阿里、百度,网易、新浪以及特斯拉等全球大厂,悉数中招,众多媒体将这个漏洞形容成“史诗级”“核弹级”漏洞,可以说相当贴切。
据工信部官网消息,今年9月1日,工业和信息化部网络安全威胁和漏洞信息共享平台正式上线运行。其中提到,根据《网络产品安全漏洞管理规定》,网络产品提供者应当及时向平台报送相关漏洞信息,鼓励漏洞收集平台和其他发现漏洞的组织或个人向平台报送漏洞信息。
此次事件中,作为我国云计算服务的头部供应商的阿里云,11月24日发现计算机史上最大的漏洞,是先向国外的Apache基金会报告,而未及时向主管部门报送漏洞信息。工信部得知情况,已经是12月9日,中间已经过了15天。这十五天,中国的互联网简直是在裸奔。这期间已经有黑客掌握了这个漏洞,在利用这个漏洞进行网络攻击。作为新基建重要一环的云计算平台,更加应以谨慎的心态承担起保障网络安全的责任。
国资云建设 安全自主可控为上
互联网时代,国家安全自然延伸到了网络。各个国家,都在想办法堵自己漏洞,找别人家的漏洞,甚至是隐藏的后门。同样的漏洞,那就是看谁率先掌握。国外的开源软件层出不穷的漏洞,隐没难寻的后门,应用于国家重要机构或事关 社会 民生的部门,其潜在危害难以估量。我们除了想方设法被动收集修复漏洞,还要大力发展和利用自主安全可控的技术,才能在互联网领域寻求战略平衡,保障国家安全。
所以说,阿里云的这次行动足以为戒,忽视国家各项数据安全法律法规,国家安全责任意识淡漠,将国家网络安全置于巨大的危机之中。试问这样的第三方云服务商,如何让国家机构、央企国企放心将数据业务托管?
风险就在那里,警告从未缺席。国资云以安全自主可控、平稳可靠运行为上,才能确保国家安全,尽到 社会 责任。第三方云服务商难以超越企业自身的稳健盈利,更不要说将国家安全、公共利益、亿万民众福祉放在首位。国资云的建设将第三方云服务商排除在外,是互联网竞争环境的使然,也是数据安全责任的担当,更是时代赋予的使命。
“国资云”建设 大势所趋
经过深入研究分析,北京交通大学信息管理理论与技术国际研究中心(ICIR)认为, “国资云”建设是大势所趋,原因主要有以下三方面:
一是“国资云”建设是国有资产管理的需要。国企数据资源属于国有资产,应纳入国资监管和统一管理,保护国有数据资产安全是建设国资云的核心目的;
二是“国资云”建设是保障国家重要数据安全的需要。近期,《关键信息基础设施安全保护条例》、《中华人民共和国个人信息保护法》、《中华人民共和国数据安全法》相继颁布实施,将数据安全提升到前所未有的高度,而国有企业的许多数据事关国家关键信息基础设施安全;
三是“国资云”建设是信创工程落地的重要抓手。在“国资云”数据中心逐步加大CPU、操作系统、存储、数据库、中间件等国产信创产品比重,并鼓励国产信创业务系统与“国资云”数据中心基础设施适配应用,从基础到应用全方位推进信创工程步伐。
因此,“国资云”建设的重要意义在业界已达成高度共识。
国资云赋能云上安全 G-Cloud增强国企竞争力
国有企业是中国特色 社会 主义的重要物质基础和政治基础,是我们党执政兴国的重要支柱和依靠力量,国有企业不仅具有鲜明的政治属性,也具有强烈的经济属性和物质属性,坚定不移地将国有企业做强做大做优是党和人民对国有企业的基本要求。因此,国有企业更需要资产不断保值增值,规模不断发展壮大,盈利水平不断提高,这就要求国有企业必需使用最先进的生产工具,创造出最先进的生产力,保持在国际国内市场中的竞争力。
而云计算平台就是当前最先进的生产工具。云计算平台中除了计算、存储、网络、虚拟化等Iaas服务相对比较成熟外,在Paas、Saas层面的技术创新速度非常快,产品迭代周期不断缩短,不同的厂商提供的云平台服务在技术领先性、服务稳定性、用户覆盖面等方面具有非常大的差异。
在激烈的市场竞争中,企业选择了什么类型、什么厂商的云服务,在一定程度上意味着企业使用了什么工具和武器,在很大程度上决定了企业的生产效率、管理效率和市场效率,也就决定了企业的竞争力。
国资云赋能云上安全,打造排除第三方云服务商的行业专属私有云。 中科院云计算中心自主研发的G-Cloud云操作系统,首要胜在安全。 其次G-Cloud在智慧城市、智慧医疗、智慧教育、智慧交通等领域的成功案例,将有助于充分激活国企强劲的竞争力、影响力、带动力。
2021年11月, 国资云平台中科云(东莞) 科技 有限公司正式成立,由中科院、东莞市政府等多方投资的上市企业国云 科技 控股,国资背景加持,官方认可,国内顶尖 科技 机构技术背书,使用国内首个自主产权、安全可控的G-Cloud云操作系统,建设“国资云”, 赋能千行百业数字化转型升级,最大化优化国有资本布局,提高国有资本运营效能、产业互联和商业创新!
中科云凝聚服务政企信息化、数字化建设的核心团队, 联合产学研用各方力量,融合大数据、云计算、物联网等新一代信息技术,在政府、医疗、教育、交通、智能制造等多行业、多领域提供新型基础设施建设、数据分布式存储服务,助力国资国企规模和实力的持续增长,实现高质量发展。
Apache安全漏洞全球发酵 工信部暂停阿里云合作单位,Log4j2问题影响几何?
2001年,软件开发者Ceki Gulcu设计出一套基于Java语言的日志库Log4j,并于不久后加入专门运作开源软件项目的非盈利组织Apache。在此后的软件迭代升级中,Apache在Log4j的基础上推出了新开源项目Log4j2,在保留原本特性的同时加入了控制日志信息输出目的地、输出格式、定义信息级别等功能,并很快因为其简易便捷、功能强大的特征,作为基本集成模块广泛应用于各类使用Java开源系统中。
但也正因为Log4j2广泛的适用性,在被爆出存在远程代码执行安全漏洞后,在全球计算机领域引发巨大的安全危机。
除了Log4j2本身应用范围广外,该漏洞的另一大特征在于利用方式十分简单。据专家介绍,攻击者仅需向目标输入一段代码,不需要用户执行任何多余操作即可触发该漏洞,使攻击者得以远程控制受害者用户的服务器,90%以上基于Java开发的应用平台都会受到影响。
奇安信集团安域云防护的监测数据显示,截至12月10日中午12点,已发现近1万次利用该漏洞的攻击行为。奇安信应急响应中心已接到十余起重要单位的漏洞应急响应需求,并于12月9日晚间将漏洞信息上报了相关主管部门。补天漏洞响应平台负责人介绍,12月9日深夜,仅一小时内就收到白帽黑客提交的百余条该漏洞的信息。
而此前就十分猖獗的网络勒索软件,通过利用Log4j2漏洞被发现后各大企业尚未及时修补前的间隙,发起了新一轮大规模勒索攻击。来自KnownSec 404 团队和深信服威胁情报团队的研究人员报告称,TellYouThePass、Khonsari等勒索软件正利用该漏洞针对 Linux 和 Windows 系统发起进攻,在用户终端直接完成安装。
据工信部于12月17日在其官网发布的《关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示》显示,2021年12月9日,工业和信息化部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告,阿帕奇Log4j2组件存在严重安全漏洞。工业和信息化部立即组织有关网络安全专业机构开展漏洞风险分析,召集阿里云、网络安全企业、网络安全专业机构等开展研判,通报督促阿帕奇软件基金会及时修补该漏洞,向行业单位进行风险预警。
在此之前,我国对网络漏洞的处理方式和流程已做出具体要求。《网络安全法》第二十五条规定:“网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。”
今年7月,工业和信息化部、国家互联网信息办公室、公安部联合发布《网络产品安全漏洞管理规定》,对网络产品提供者、运营者及信息共享平台的责任与义务提出更为详细的要求。其第七条规定,网络产品提供者在发现或者获知所提供网络产品存在安全漏洞后,应当立即采取措施并组织验证,评估其危害程度和影响范围,并在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息;对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品提供者;对于需要产品用户(含下游厂商)采取软件、固件升级等措施的应及时告知并提供必要的技术支持。
平台方面,工业和信息化部网络安全威胁和漏洞信息共享平台同步向国家网络与信息安全信息通报中心、国家计算机网络应急技术处理协调中心通报相关漏洞信息。
据方宁介绍,目前国内的国家级漏洞采集共享平台主要包括CNVD(国家信息安全漏洞共享平台)、CNNVD(国家信息安全漏洞库)等,此类平台往往招募了大量第三方安全企业长期向其输送网络安全漏洞,这些第三方企业作为相关部门的支撑单位,需要依据规定及时将发现的漏洞提交到国家采集平台上。
目前,受到Log4j2漏洞影响和威胁的企业与组织数量仍在持续增长,据火线Apache Log4j2 漏洞影响面查询网站统计显示,截至发稿前,该漏洞已影响超6万个开源软件,涉及相关版本软件包32万余个。
除企业外,一些政府机构和 社会 组织由于未及时修补Log4j2漏洞,也成为黑客的攻击目标。据报道,当地时间12月16日,比利时国防部遭到黑客利用该漏洞发起的攻击,比利时国防部长回应称,其安全团队正努力保证网络安全,防止再发生类似事件。
尽管在12月8日, Apache官方就已发布Log4j2安全更新,但其影响预计还将持续很长一段时间。
“可能还需要至少6个月,才能把本次漏洞的影响面缩减到比较小的范围内。”方宁解释称,此类0day漏洞(已被发现但还未推出相关补丁的漏洞)刚被爆出时,往往是对安全问题较为重视并有相应财力、人力的企业最早完成修复,大量的中小企业如果没有专门的网络安全部门和团队,可能都无法获知相关的情况。
方宁表示,当前各大安全厂商已提供了一些自动化检测工具和脚本,现在最重要的是企业和相关单位重视起来,根据国家漏洞库、漏洞平台给出的解决方案,对照自己的产品系统进行检查。上述北京网络安全公司技术人员则表示,很多开发者及时升级软件版本,就可以避免被黑客利用漏洞进行攻击,“最关键的还是要做好自查和升级。”
更多内容请下载21 财经 APP
阿帕奇服务器不能启动启动出现内存不能为read
几种可能性,供您参考:
1、游戏下载不全,或者是D版……建议重新下载、安装。
2、游戏设置可能有问题,重新设置一下。
3、电脑配置可能不支持。
另:内存不能为"Read"或"written"(原因以及解决方案):
(【sql1981】原创答案,引用请说明原作者:sql1981,未通知原作者严禁复制本答案!!)
系统出现内存不能为"Read"或"written"的原因:
1、驱动不稳定,与系统不兼容,这最容易出现内存不能为 Read 或者文件保护
2、系统安装了一个或者多个流氓软件,这出现 IE 或者系统崩溃的机会也比较大,也有可能出现文件保护
3、系统加载的程序或者系统正在运行的程序之间有冲突,尤其是部分杀毒软件监控程序
4、系统本身存在漏洞,导致容易受到网络攻击。
5、病毒问题也是主要导致内存不能为 Read、文件保护、Explorer.exe 错误……
6、如果在玩游戏时候出现内存不能为 Read,则很大可能是显卡驱动不适合(这里的不适合有不适合该游戏、不适合电脑的显卡),也有可能是 DX9.0C 版本不够新或者不符合该游戏、显卡驱动
7、部分软件本身自身不足的问题
8、电脑硬件过热,也是导致内存不能为 Read 的原因之一。
9、电脑内存与主板兼容性不好也是导致内存不能为 Read 的致命原因!
提供几种解决方案:
1、一次运行注册所有dll,方法如下:
开始——运行,输入cmd 回车在命令提示符下输入
for %1 in (%windir%\system32\*.dll) do regsvr32.exe /s %1
这个命令你慢慢输,仔细点,输入正确的话会看到飞快地滚屏 否则……否则失败就是没这效果。回车后慢慢等(需要点时间1-2分钟) 都运行完再尝试之前的操作,看还有没有出现不能为read的现象。
2、在控制面板的添加/删除程序中看看你是否安装了微软NET.Framework,如果已经安装了,可以考虑卸载它,当然如果你以后在其它程序需要NET.Framework时候,可以再重新安装。
另外,如果你用的是ATI显卡并且你用的是SP2的补丁(一些ATI的显卡驱动需要在NET.Framework正常工作的环境下)。这种情况你可以找一款不需要NET.Framework支持的ATI显卡驱动。
如果以上两种方法并不能完全解决问题,你试着用一下“IE修复”软件,并可以查查是否有病毒之类的。
〔微软NET.Framework升级到1.1版应该没问题了〕
3、引起这个问题的原因很多。一般来讲就是给系统打上补丁和更换内存、给内存换个插槽这3种方法来解决。[系统补丁只要到Microsoft Update网站在线更新就可以了!
阿里云回应被工信部严惩
阿里云回应被工信部严惩
阿里云回应被工信部严惩,此次事件,从侧面体现了计算机行业中普遍存在的意识疏漏。此次事件对行业的影响是正面的,这是一次警示、也是一次示范。阿里云回应被工信部严惩。
阿里云回应被工信部严惩1
12月23日晚间,阿里云计算有限公司(以下简称“阿里云”)对发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告的事件进行了回应,阿里云表示,阿里云因在早期未意识到该漏洞的严重性,未及时共享漏洞信息。阿里云将强化漏洞报告管理、提升合规意识,积极协同各方做好网络安全风险防范工作。
阿里云表示,近日,阿里云一名研发工程师发现Log4j2组件的一个安全bug,遂按业界惯例以邮件方式向软件开发方Apache开源社区报告这一问题请求帮助。Apache开源社区确认这是一个安全漏洞,并向全球发布修复补丁。随后,该漏洞被外界证实为一个全球性的重大漏洞。Log4j2 是开源社区阿帕奇(Apache)旗下的开源日志组件,被全世界企业和组织广泛应用于各种业务系统开发。
此前,阿里云因此事被罚。12月22日,工信部网络安全管理局通报称,阿里云是工信部网络安全威胁信息共享平台合作单位。近日,阿里云公司发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。经研究,现暂停阿里云公司作为上述合作单位6个月。暂停期满后,根据阿里云公司整改情况,研究恢复其上述合作单位。
12月9日,工信部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告,阿帕奇Log4j2组件存在严重安全漏洞。工信部立即组织有关网络安全专业机构开展漏洞风险分析,召集阿里云、网络安全企业、网络安全专业机构等开展研判,通报督促阿帕奇软件基金会及时修补该漏洞,向行业单位进行风险预警。
该漏洞可能导致设备远程受控,进而引发敏感信息窃取、设备服务中断等严重危害,属于高危漏洞。为降低网络安全风险,提醒有关单位和公众密切关注阿帕奇Log4j2组件漏洞补丁发布,排查自有相关系统阿帕奇Log4j2组件使用情况,及时升级组件版本。
阿里云在中国云市场上占据着重要地位,此前,Canalys发布中国云计算市场2021年第三季度报告。报告显示,2021年第三季度中国云计算市场整体同比增长43%,达到72亿美元。阿里云在2021年第三季度以38.3%的份额领先中国大陆市场,33.3%的年收入增长主要受互联网、金融服务和零售行业的推动。
阿里云回应被工信部严惩2
近日,有媒体报道,阿里云发现阿帕奇Log4j2组件有安全漏洞,但未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。因此,暂停阿里云作为上述合作单位 6 个月。
原本一个技术圈子的事情因此成为社会热议话题。一时间网友分化为了两个圈子——
非技术圈的人说:感觉阿里云只报给阿帕奇这个技术社区,不上报组织,是没把国家安全放心上。
技术圈层说:当然是谁写的bug报给谁,阿帕奇的安全漏洞,报给阿帕奇是应该的,不能上纲上线。
23日晚间,阿里云就log4j2漏洞发布了说明,诚恳认错,表示要强化漏洞报告管理、提升合规意识,积极协同各方共同做好网络安全防范工作。
回顾这个非常技术的话题,有诸多事实需要厘清。
首先,阿帕奇开源社区是什么?Log4j2组件是什么?
阿帕奇是国际上比较有影响力的一个开源社区。官网上显示,华为、腾讯、阿里等中国公司是这个开源社区的主要贡献者,另外也包括谷歌、微软等美国企业。全球的软件工程师,在这里共建一些基础的软件部件,相互迭代、提高公共效率,是软件产业的一个特有现象。
本次发现漏洞的Log4j2 就是开源社区阿帕奇旗下的开源日志组件,很多企业都会会用这个组件来开发自己的系统。在阿里云的工程师发现这个组件有问题的时候,就邮件询问了阿帕奇,请社区确认这是否是一个漏洞、评估影响范围。
而后阿帕奇确认这是一个漏洞,并通知开发者们修补这个漏洞。于是,出现了天涯共此时,一起改漏洞的局面。
但阿里云遗漏了不久前上线的一个官方上报平台,仅仅按业界的惯例向以邮件方式向软件开发方Apache开源社区报告这一问题请求帮助。
其次,工信部暂停阿里云6个月合作单位资格,意味着什么?
据工信微报——「12月9日,工业和信息化部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告,阿帕奇Log4j2组件存在严重安全漏洞。工业和信息化部立即组织有关网络安全专业机构开展漏洞风险分析,召集阿里云、网络安全企业、网络安全专业机构等开展研判,通报督促阿帕奇软件基金会及时修补该漏洞,向行业单位进行风险预警。」
媒体报道的暂停6个月合作单位资格,并未出现在公开渠道。据业内人士分析,这并不是一个严格意义上的“处罚”,否则不可能不公开通报。其次,网络安全威胁和漏洞信息共享平台是一个收集、通报网络安全漏洞的平台,暂停这个平台的合作资质并不对业务造成影响。
工信部关于Log4j2漏洞的风险提示
但此次事件,从侧面体现了计算机行业中普遍存在的意识疏漏。在国内计算机行业几十年的发展过程中,大量从业人员、组织养成了与开源社区合作的工作习惯,但对更高层面的`安全意识、合规意识,在思想上、制度上都有所不足。阿里云的漏报行为,也是这一意识疏漏的一次具体体现。
整体而言,此次事件对行业的影响是正面的,这是一次警示、也是一次示范。阿里云是行业领先的IT企业,这也是能够率先发现全球重大安全漏洞的原因,而此次事件的发生,无疑将会增强计算机行业的安全合规意识,可以想见,无论是阿里云、还是其他诸多科技企业,都将在企业和组织内部增强合规培训和流程规范。
阿里云回应被工信部严惩3
近期,工信部网络安全管理局通报称,阿里云计算有限公司发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。
通报指出,阿里云是工信部网络安全威胁信息共享平台合作单位。经研究,工信部网络安全管理局决定暂停阿里云作为上述合作单位6个月。暂停期满后,根据阿里云整改情况,研究恢复其上述合作单位。
观察者网日前曾对该事件做过详细报道,11月24日,阿里云发现这个可能是“计算机历史上最大的漏洞”后,率先向阿帕奇软件基金会披露了这一漏洞,但并未及时向中国工信部通报相关信息。这一漏洞的存在,可以让网络攻击者无需密码就能访问网络服务器。
工信部通报阿帕奇Log4j2组件重大安全漏洞
阿帕奇(Apache)Log4j2组件是基于Java语言的开源日志框架,被广泛用于业务系统开发。近日,阿里云计算有限公司发现阿帕奇Log4j2组件存在远程代码执行漏洞,并将漏洞情况告知阿帕奇软件基金会。
该漏洞可能导致设备远程受控,进而引发敏感信息窃取、设备服务中断等严重危害,属于高危漏洞。为降低网络安全风险,提醒有关单位和公众密切关注阿帕奇Log4j2组件漏洞补丁发布,排查自有相关系统阿帕奇Log4j2组件使用情况,及时升级组件版本。
工业和信息化部网络安全管理局将持续组织开展漏洞处置工作,防范网络产品安全漏洞风险,维护公共互联网网络安全。
“网络大流感”Apache Log4j2漏洞来袭“云上企业”如何应对?
对于大部分互联网用户而言,Apache(阿帕奇)Log4j2是个陌生的词汇。但在很多程序员眼中,它却是陪伴自己的好伙伴,每天用于记录日志。然而,恰恰是这个被无数程序员每天使用的组件出现漏洞了。这个漏洞危害之大,甚至可能超过“永恒之蓝”。
安恒信息高级应急响应总监季靖评价称:“(Apache Log4j2)降低了黑客攻击的成本,堪称网络安全领域20年以来史诗级的漏洞。”有业内人士还认为,这是“现代计算机 历史 上最大的漏洞”。
工信部于2021年12月17日发文提示风险:“阿帕奇Log4j2组件存在严重安全漏洞……该漏洞可能导致设备远程受控,进而引发敏感信息窃取、设备服务中断等严重危害,属于高危漏洞。”
就连国家政府部门也中招了。2021年12月下旬,比利时国防部承认他们遭受了严重的网络攻击,该攻击基于Apache Log4j2相关漏洞,网络攻击导致比利时国防部包括邮件系统在内的一些业务瘫痪。
此漏洞“威力”之大,连国家信息安全也受到波及。那么普通企业,特别是采用云服务的企业应该如何应对呢?疫情发生以来,大量企业、机构加速数字化进程,成为“云上企业”。传统环境下,企业对自身的安全体系建设拥有更多掌控权,完成云迁移后,这些企业的云安全防护是否到位?
2021年12月9日深夜,Apache Log4j2远程代码执行漏洞攻击爆发,一时间各大互联网公司“风声鹤唳”,许多网络安全工程师半夜醒来,忙着修补漏洞。“听说各大厂程序员半夜被叫起来改,不改完不让下班。”相关论坛也对此事议论纷纷。
为何一个安全漏洞的影响力如此之大?安永大中华区网络安全与隐私保护咨询服务主管合伙人高轶峰认为:“影响广泛、威胁程度高、攻击难度低,使得此次Apache Log4j2漏洞危机备受瞩目,造成了全球范围的影响。”
“Log4j2是开源社区阿帕奇(Apache)旗下的开源日志组件,被全世界企业和组织广泛应用于各种业务系统开发”,季靖表示,“据不完全统计,漏洞爆发后72小时之内,受影响的主流开发框架都超过70个。而这些框架,又被广泛使用在各个行业的数字化信息系统建设之中,比如金融、医疗、互联网等等。由于许多耳熟能详的互联网公司都在使用该框架,因此阿帕奇Log4j2漏洞影响范围极大。”
除了应用广泛之外,Apache Log4j2漏洞被利用的成本相对而言也较低,攻击者可以在不需要认证登录这种强交互的前提下,构造出恶意的数据,通过远程代码对有漏洞的系统执行攻击。并且,它还可以获得服务器的最高权限,最终导致设备远程受控,进一步造成数据泄露,设备服务中断等危害。
不仅仅攻击成本低,而且技术门槛也不高。不像2017年爆发的“永恒之蓝”,攻击工具利用上相对复杂。基于Apache Log4j2漏洞的攻击者,可以利用很多现成的工具,稍微懂点技术便可以构造更新出一种恶意代码。
利用难度低、攻击成本低,意味着近期针对Apache Log4j2漏洞的攻击行为将还会持续一段时间,这将是一场“网络安全大流感”。
传统模式下,安全人员可以在本地检测、打补丁、修复漏洞。相对于传统模式,“云上企业”使用的是云计算、云存储服务等,没有自己的机房和服务器。进入云环境,安全防护的“边界”不复存在,对底层主机的控制权限也没有本地那么多,同时还多一层虚拟化方面的攻击方式。
特别是疫情影响下,大量企业、机构开启数字化转型,从本地服务器迁徙到云服务器。短时间内完成云迁移,企业很可能缺乏对应的云安全管理能力成熟度;同时,往往也面临着安全能力不足、专业人手紧缺等情况。
面对这场史诗级的漏洞危机,“云上企业”应该如何应对呢?
在安恒信息高级产品专家盖文轩看来:“企业上云之后,传统的网络安全风险依然存在,此外,还会面临新的安全风险,比如用户与云平台之间安全责任边界划分等问题。另外,传统的硬件设备可能不适用于云环境,因此需要针对特殊情况部署相关安全服务。”
而在安永大中华区 科技 风险咨询服务合伙人赵剑澐看来:“面对快速上云,企业急需搭建满足自身业务发展与管理要求的安全保障体系。”
那么,对于这些“云上企业”,究竟是选择云服务商提供的原生安全服务,还是另寻第三方专业的安全服务商呢?
事实上,目前即使是高度自动化的云原生安全方案,也无法做到完全自主自治,仍然需要合格的云安全服务专业团队参与。高轶峰强调,对于中小型企业,选择满足资质的第三方专业安全机构,能够保证服务的独立性,保障工作顺利开展及服务质量。
每日经济新闻
阿里云未及时通报重大网络安全漏洞,会带来什么后果?
【文/观察者网 吕栋】
这事缘起于一个月前。当时,阿里云团队的一名成员发现阿帕奇(Apache)Log4j2组件严重安全漏洞后,随即向位于美国的阿帕奇软件基金会通报,但并没有按照规定向中国工信部通报。事发半个月后,中国工信部收到网络安全专业机构的报告,才发现阿帕奇组件存在严重安全漏洞。
阿帕奇组件存在的到底是什么漏洞?阿里云没有及时通报会造成什么后果?国内企业在发现安全漏洞后应该走什么程序通报?观察者网带着这些问题采访了一些业内人士。
漏洞银行联合创始人、CTO张雪松向观察者网指出,Log4j2组件应用极其广泛,漏洞危害可以迅速传播到各个领域。由于阿里云未及时向中国主管部门报告相关漏洞,直接造成国内相关机构处于被动地位。
关于Log4j2组件在计算机网络领域的关键作用,有国外网友用漫画形式做了形象说明。按这个图片解读,如果没有Log4j2组件的支撑,所有现代数字基础设施都存在倒塌的危险。
国外社交媒体用户以漫画的形式,说明Log4j2的重要性
观察者网梳理此次阿帕奇严重安全漏洞的时间线如下:
根据公开资料,此次被阿里云安全团队发现漏洞的Apache Log4j2是一款开源的Java日志记录工具,控制Java类系统日志信息生成、打印输出、格式配置等,大量的业务框架都使用了该组件,因此被广泛应用于各种应用程序和网络服务。
有资深业内人士告诉观察者网,Log4j2组件出现安全漏洞主要有两方面影响:一是Log4j2本身在java类系统中应用极其广泛,全球Java框架几乎都有使用。二是漏洞细节被公开,由于利用条件极低几乎没有技术门槛。因适用范围广和漏洞利用难度低,所以影响立即扩散并迅速传播到各个行业领域。
简单来说,这一漏洞可以让网络攻击者无需密码就能访问网络服务器。
这并非危言耸听。美联社等外媒在获取消息后评论称,这一漏洞可能是近年来发现的最严重的计算机漏洞。Log4j2在全行业和政府使用的云服务器和企业软件中“无处不在”,甚至犯罪分子、间谍乃至编程新手,都可以轻易使用这一漏洞进入内部网络,窃取信息、植入恶意软件和删除关键信息等。
阿里云官网截图
然而,阿里云在发现这个“过去十年内最大也是最关键的单一漏洞”后,并没有按照《网络产品安全漏洞管理规定》第七条要求,在2天内向工信部网络安全威胁和漏洞信息共享平台报送信息,而只是向阿帕奇软件基金会通报了相关信息。
观察者网查询公开资料发现,阿帕奇软件基金会(Apache)于1999年成立于美国,是专门为支持开源软件项目而办的一个非营利性组织。在它所支持的Apache项目与子项目中,所发行的软件产品都遵循Apache许可证(Apache License)。
12月10日,在阿里云向阿帕奇软件基金会通报漏洞过去半个多月后,中国国家信息安全漏洞共享平台才获得相关信息,并发布《关于Apache Log4j2存在远程代码执行漏洞的安全公告》,称阿帕奇官方已发布补丁修复该漏洞,并建议受影响用户立即更新至最新版本,同时采取防范性措施避免漏洞攻击威胁。
中国国家信息安全漏洞共享平台官网截图
事实上,国内网络漏洞报送存在清晰流程。业内人士向观察者网介绍,业界通用的漏洞报送流程是,成员单位工业和信息化部网络安全管理局 国家信息安全漏洞共享平台(CNVD) CVE 中国信息安全测评中心 国家信息安全漏洞库(CNNVD) 国际非盈利组织CVE;非成员单位或个人注册提交CNVD或CNNVD。
根据公开资料,CVE(通用漏洞共享披露)是国际非盈利组织,全球通用漏洞共享披露协调企业修复解决安全问题,由于最早由美国发起该漏洞技术委员会,所以组织管理机构主要在美国。而CNVD是中国的信息安全漏洞信息共享平台,由国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库。
上述业内人士认为,阿里这次因为漏洞影响较大,所以被当做典型通报。在CNVD建立之前以及最近几年,国内安全人员对CVE的共识、认可度和普及程度更高,发现漏洞安全研究人员惯性会提交CVE,虽然最近两年国家建立了CNVD,但普及程度不够,估计阿里安全研究员提交漏洞的时候,认为是个人技术成果的事情,上报国际组织协调修复即可。
但根据最新发布的《网络产品安全漏洞管理规定》,国内安全研究人员发现漏洞之后报送CNVD即可,CNVD会发起向CVE报送流程,协调厂商和企业修复安全漏洞,不允许直接向国外漏洞平台提交。
由于阿里云这次的行为未有效支撑工信部开展网络安全威胁和漏洞管理,根据工信部最新通报,工信部网络安全管理局研究后,决定暂停阿里云作为上述合作单位6个月。暂停期满后,根据阿里云整改情况,研究恢复其上述合作单位。
业内人士向观察者网指出,工信部这次针对是阿里,其实也是向国内网络安全行业从业人员发出警示。从结果来看对阿里的处罚算轻的,一是没有踢出成员单位,只是暂停6个月。二是工信部没有对这次事件的安全研究人员进行个人行政处罚或警告,只是对直接向国外CVE报送的Log4j漏洞的那个安全专家点名批评。
本文系观察者网独家稿件,未经授权,不得转载。
0条大神的评论