近日,阿里雲公司發現 Apache Log4j2 元件嚴重安全漏洞隱患後,未及時向電信主管部門報告,未有效支撐工信部開展網路安全威脅和漏洞管理。經研究,現暫停阿里雲公司作為工信部網路安全威脅資訊共享平臺合作單位6個月。暫停期滿後,根據阿里雲公司整改情況,研究恢復其上述合作單位。
據瞭解,Apache Log4j2 的漏洞由阿里雲團隊發現。11月24日,阿里雲安全團隊曾向Apache官方報告了 Apache Log4j2 遠端程式碼執行漏洞。由於 Log4j2 元件在處理程式日誌記錄時存在JNDI 注入缺陷,未經授權的攻擊者利用該漏洞,可向目標伺服器傳送精心構造的惡意資料,觸發Log4j2 元件解析缺陷,實現目標伺服器的任意程式碼執行,獲得目標伺服器許可權。
不過,直到 12 月 9 日,工信部網路安全威脅和漏洞資訊共享平臺才收到有關網路安全專業機構報告,組織應對策略並對外公佈風險。12 月17 日,工信部通報稱,該漏洞可能導致裝置遠端受控,進而引發敏感資訊竊取、裝置服務中斷等嚴重危害,屬於高危漏洞。目前,Apache 官方已釋出補丁。
據瞭解,自該漏洞公開以來,很多網站如百度等都是此次執行漏洞的受害者,很多網際網路企業也都連夜做了應急措施。
除本次暫停合作外,今年 11 月,工業和資訊化部網路安全管理局、公安部刑事偵查局也曾聯合約談阿里雲、百度雲兩家企業相關負責人,通報了近期兩家企業在防範治理電信網路詐騙工作中存在的接入涉詐網站數量居高不下等問題。