阿里云高危漏洞未上報(bào) 工信部終止合作單位6個(gè)月

2021-12-30 16:35:53|

來(lái)源：搜狐科技作者：

近日，阿里云公司發(fā)現(xiàn)阿帕奇(Apache)Log4j2組件嚴(yán)重安全漏洞隱患后，未及時(shí)向電信主管部門(mén)報(bào)告，未有效支撐工信部開(kāi)展網(wǎng)絡(luò)安全威脅和漏洞管理。經(jīng)研究，現(xiàn)暫停阿里云公司作為工信部網(wǎng)絡(luò)安全威脅信息共享平臺(tái)合作單位6個(gè)月。暫停期滿后，根據(jù)阿里云公司整改情況，研究恢復(fù)其上述合作單位。

對(duì)此，搜狐科技向阿里云方面詢問(wèn)漏洞細(xì)節(jié)，截至發(fā)稿前，暫未收到回復(fù)。

據(jù)了解，Apache Log4j2的漏洞由阿里云團(tuán)隊(duì)發(fā)現(xiàn)。11月24日，阿里云安全團(tuán)隊(duì)曾向Apache官方報(bào)告了Apache Log4j2遠(yuǎn)程代碼執(zhí)行漏洞。由于Log4j2組件在處理程序日志記錄時(shí)存在JNDI注入缺陷，未經(jīng)授權(quán)的攻擊者利用該漏洞，可向目標(biāo)服務(wù)器發(fā)送精心構(gòu)造的惡意數(shù)據(jù)，觸發(fā)Log4j2組件解析缺陷，實(shí)現(xiàn)目標(biāo)服務(wù)器的任意代碼執(zhí)行，獲得目標(biāo)服務(wù)器權(quán)限。

不過(guò)，直到12月9日，工信部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)才收到有關(guān)網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)報(bào)告，組織應(yīng)對(duì)策略并對(duì)外公布風(fēng)險(xiǎn)。12月17日，工信部通報(bào)稱，該漏洞可能導(dǎo)致設(shè)備遠(yuǎn)程受控，進(jìn)而引發(fā)敏感信息竊取、設(shè)備服務(wù)中斷等嚴(yán)重危害，屬于高危漏洞。目前，Apache官方已發(fā)布補(bǔ)丁。

據(jù)了解，自該漏洞公開(kāi)以來(lái)，很多網(wǎng)站如百度等都是此次執(zhí)行漏洞的受害者，很多互聯(lián)網(wǎng)企業(yè)也都連夜做了應(yīng)急措施。

除本次暫停合作外，今年11月，工業(yè)和信息化部網(wǎng)絡(luò)安全管理局、公安部刑事偵查局也曾聯(lián)合約談阿里云、百度云兩家企業(yè)相關(guān)負(fù)責(zé)人，通報(bào)了近期兩家企業(yè)在防范治理電信網(wǎng)絡(luò)詐騙工作中存在的接入涉詐網(wǎng)站數(shù)量居高不下等問(wèn)題。

標(biāo)簽：阿里云高危漏洞工信部網(wǎng)絡(luò)安全合作單位