安全漏洞未及时上报，阿里云被工信部暂停合作单位称号

今日多家媒体报道称，工业和信息化部网络安全管理局通报表示，作为工信部网络安全威胁信息共享平台合作单位，阿里云发现阿帕奇（Apache）Log4j2 组件严重安全漏洞隐患后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理。

经研究现暂停阿里云作为上述合作单位 6 个月，暂停期满后根据阿里云整改情况，研究恢复其上述合作单位。

在此之前的 19 日，工信部发布公告通报了阿帕奇 Log4j2 组件中的一个重大安全漏洞，这一漏洞可能导致设备远程受控，进而引发敏感信息窃取、设备服务中断等严重危害，属于高危漏洞。

彼时媒体报道显示，近日系阿里云发现阿帕奇 Log4j2 组件中存在远程代码执行漏洞，并将漏洞情况告知了阿帕奇软件基金会。

据了解，Apache Log4j2 是阿帕奇软件基金会旗下的一款日志纪录工具，90% 以上的 Java 开发平台都会直接或间接地使用这款工具。

正因如此，此次漏洞危险波及范围极广，覆盖了 IT 通信 ( 互联网 ) 、高校、工业制造、金融、医疗卫生、运营商等大量的行业和领域。业界将其称之为堪比 2017 年 " 永恒之蓝 " 的安全漏洞。

2017 年 4 月，黑客团体 Shadow Brokers 公布了一大批网络攻击工具，其中最为突出的便是 " 永恒之蓝 " 工具。

这款工具利用 Windows 系统的 SMB 漏洞，可以获取系统的最高权限。不法分子通过 " 永恒之蓝 " 工具制作了 wannacry 勒索病毒，攻击了英国、俄罗斯、整个欧洲等地区的多个高校、大型企业机构的网络系统，并向被攻击者勒索高额赎金才予以解密恢复文件。

对此有观点指出，此次被曝出的 Apache Log4j2 漏洞，或许比 " 永恒之蓝 " 更 " 好用 "。网络攻击者甚至只需复制粘贴一段简单的代码，然后无需执行其他操作即可触发该漏洞。

然后攻击者可以通过漏洞触发远程木马执行，进而控制受害者设备来进行窃取数据、投递勒索病毒、挖矿木马等操作，会对用户的网络和财产安全造成严重威胁。

也有消息报道称，由于 Apache Log4j2 在各大交易所、钱包、DeFi 项目中广泛使用，攻击者几乎立即开始利用该漏洞进行非法的加密货币挖掘，或利用互联网上的合法计算资源来产生加密货币以获取经济利益，

综合多个报道信息可以发现，对于如此高危害级别的安全漏洞，阿里云虽然发现了漏洞并反馈给了软件所有方阿帕奇软件基金会，但在网络安全威胁信息共享平台的上报流程上出现了问题。

此前 Canalys 发布中国云计算市场 2021 年第三季度报告显示，阿里云、华为云、腾讯云和百度智能云依旧占据市场第一梯队，其中阿里云市场份额排名第一。

针对被暂停工信部网络安全威胁信息共享平台合作单位一事，阿里云方面尚未作出公开回应。