近日,阿里云公司发现 Apache Log4j2 组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。经研究,现暂停阿里云公司作为工信部网络安全威胁信息共享平台合作单位6个月。暂停期满后,根据阿里云公司整改情况,研究恢复其上述合作单位。
据了解,Apache Log4j2 的漏洞由阿里云团队发现。11月24日,阿里云安全团队曾向Apache官方报告了 Apache Log4j2 远程代码执行漏洞。由于 Log4j2 组件在处理程序日志记录时存在JNDI 注入缺陷,未经授权的攻击者利用该漏洞,可向目标服务器发送精心构造的恶意数据,触发Log4j2 组件解析缺陷,实现目标服务器的任意代码执行,获得目标服务器权限。
不过,直到 12 月 9 日,工信部网络安全威胁和漏洞信息共享平台才收到有关网络安全专业机构报告,组织应对策略并对外公布风险。12 月17 日,工信部通报称,该漏洞可能导致设备远程受控,进而引发敏感信息窃取、设备服务中断等严重危害,属于高危漏洞。目前,Apache 官方已发布补丁。
据了解,自该漏洞公开以来,很多网站如百度等都是此次执行漏洞的受害者,很多互联网企业也都连夜做了应急措施。
除本次暂停合作外,今年 11 月,工业和信息化部网络安全管理局、公安部刑事侦查局也曾联合约谈阿里云、百度云两家企业相关负责人,通报了近期两家企业在防范治理电信网络诈骗工作中存在的接入涉诈网站数量居高不下等问题。
