最近，阿里云安全團(tuán)隊(duì)發(fā)現(xiàn)了一個(gè)被安全圈公認(rèn)為注定被載入史冊(cè)的漏洞，并及時(shí)報(bào)告給了開(kāi)發(fā)者，可以說(shuō)功勞甚大。但奇怪的是，不到一個(gè)月的時(shí)間，工信部網(wǎng)絡(luò)安全管理局隨即對(duì)外通報(bào)，暫停與阿里云的合作6個(gè)月，暫停期滿后，再根據(jù)阿里云公司整改情況，研究是否恢復(fù)合作。

功勞甚大

11月24日，阿里云在Web服務(wù)器軟件阿帕奇(Apache)下的開(kāi)源日志組件Log4j內(nèi)，發(fā)現(xiàn)重大漏洞Log4Shell。發(fā)現(xiàn)漏洞的同時(shí)，立即向總部位于美國(guó)的阿帕奇軟件基金會(huì)報(bào)告。

這個(gè)漏洞被安全圈公認(rèn)為注定被載入史冊(cè)的高危漏洞，漏洞一經(jīng)披露，不論是大公司還是小公司，無(wú)數(shù)程序員徹夜難眠，加班加點(diǎn)修復(fù)該漏洞，安全圈的"熱鬧"場(chǎng)面一點(diǎn)不亞于2020年初新冠病毒的爆發(fā)。

這個(gè)核彈級(jí)的漏洞究竟有多厲害?

不管是前端、后端還是客戶端工程師，對(duì)打日志都不會(huì)陌生。日志可以幫助程序員們了解程序的運(yùn)行情況，排查運(yùn)行中出現(xiàn)的問(wèn)題。

在java技術(shù)棧中，用的比較多的日志輸出框架主要有l(wèi)og4j2和logback。log4j2便是我們今天的主角。

網(wǎng)絡(luò)安全領(lǐng)域有一個(gè)重要的原則：永遠(yuǎn)不要相信用戶輸入的東西。因?yàn)楹芏喙艚砸?用戶輸入"而起，比如著名的SQL注入攻擊。

然而，log4j2，這個(gè)非常流行的日志輸出框架卻犯了這個(gè)低級(jí)錯(cuò)誤。

log4j2中有一個(gè)叫JNDI的東西，它可以遠(yuǎn)程下載class文件來(lái)構(gòu)建對(duì)象，一旦遠(yuǎn)程下載的URL指向黑客的服務(wù)器，下載的class暗藏惡意代碼，會(huì)被毫無(wú)保留的執(zhí)行。

也就是說(shuō)，黑客可以輕而易舉地控制受害目標(biāo)。

這就好比兩個(gè)小學(xué)生上課遲到，被門(mén)口的保安攔住，讓登個(gè)記。剛想進(jìn)教室被保安攔住，保安對(duì)著一個(gè)人說(shuō)："敢在登記簿上寫(xiě)周杰倫?你不知道我周杰倫粉絲啊?"然后對(duì)著另一個(gè)人說(shuō)："易烊千璽，你先進(jìn)去。"

例子不太嚴(yán)謹(jǐn)，大體是這么個(gè)意思。這個(gè)高危漏洞會(huì)讓黑客完全控制受害目標(biāo)，隨意進(jìn)出、隨意篡改。試想一下，某用戶打開(kāi)百度搜索首頁(yè)，結(jié)果跳轉(zhuǎn)到某一個(gè)色情網(wǎng)站的場(chǎng)景，對(duì)百度公司來(lái)說(shuō)，絕對(duì)是史詩(shī)級(jí)災(zāi)難。

能發(fā)現(xiàn)如此高危漏洞，阿里云功不可沒(méi)。那為什么工信部會(huì)暫停與阿里云的合作呢?

難辭其咎

阿里云是工信部網(wǎng)絡(luò)安全威脅信息共享平臺(tái)合作單位，足以證明其技術(shù)實(shí)力，但在這件事上，它犯了一個(gè)很?chē)?yán)重的錯(cuò)誤。

今年7月12日，工信部刊發(fā)了《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》，已于9月1日起實(shí)施。

其中第七條(二)規(guī)定：

漏洞發(fā)現(xiàn)者應(yīng)當(dāng)在2日內(nèi)向工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)報(bào)送相關(guān)漏洞信息。

遺憾的是，由于流程把控不嚴(yán)，阿里云并沒(méi)有向工信部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)報(bào)送相關(guān)漏洞信息。

未及時(shí)報(bào)送送網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)，而直接報(bào)告給總部位于美國(guó)的阿帕奇軟件基金會(huì)。直接導(dǎo)致相關(guān)部門(mén)沒(méi)有及時(shí)掌握該漏洞的具體情況。

事情經(jīng)過(guò)如下：

11月24日，阿里云安全團(tuán)隊(duì)發(fā)現(xiàn)重大漏洞，向阿帕奇軟件基金會(huì)報(bào)告，且沒(méi)有按照規(guī)定報(bào)告給工信部。隨后，奧地利和新西蘭計(jì)算機(jī)應(yīng)急小組率先對(duì)這一漏洞進(jìn)行了預(yù)警。 直至12月9日，工信部才收到有關(guān)網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)報(bào)告，發(fā)現(xiàn)阿帕奇Log4j2組件存在嚴(yán)重安全漏洞，立即召集阿里云、網(wǎng)絡(luò)安全企業(yè)、網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)等開(kāi)展研判，并向行業(yè)單位進(jìn)行風(fēng)險(xiǎn)預(yù)警。 12月10日，漏洞經(jīng)過(guò)阿帕奇修復(fù)，卻再度被指出仍然存在漏洞，可以被繞過(guò)。 12月14日，中國(guó)國(guó)家信息安全漏洞共享平臺(tái)發(fā)布《Apache Log4j2遠(yuǎn)程代碼執(zhí)行漏洞排查及修復(fù)手冊(cè)》，供相關(guān)單位、企業(yè)及個(gè)人參考。

網(wǎng)絡(luò)安全無(wú)小事，尤其是如此嚴(yán)重的漏洞，如果被一些有心人利用，極有可能威脅到國(guó)家安全。作為企業(yè)，我們應(yīng)該時(shí)刻關(guān)注相關(guān)法律法規(guī)，降低經(jīng)營(yíng)風(fēng)險(xiǎn)。