Apache安全漏洞全球发酵 工信部暂停阿里云合作单位，Log4j2问题影响几何？

2001年，软件开发者Ceki Gulcu设计出一套基于Java语言的日志库Log4j，并于不久后加入专门运作开源软件项目的非盈利组织Apache。在此后的软件迭代升级中，Apache在Log4j的基础上推出了新开源项目Log4j2，在保留原本特性的同时加入了控制日志信息输出目的地、输出格式、定义信息级别等功能，并很快因为其简易便捷、功能强大的特征，作为基本集成模块广泛应用于各类使用Java开源系统中。

但也正因为Log4j2广泛的适用性，在被爆出存在远程代码执行安全漏洞后，在全球计算机领域引发巨大的安全危机。

除了Log4j2本身应用范围广外，该漏洞的另一大特征在于利用方式十分简单。据专家介绍，攻击者仅需向目标输入一段代码，不需要用户执行任何多余操作即可触发该漏洞，使攻击者得以远程控制受害者用户的服务器，90%以上基于Java开发的应用平台都会受到影响。

奇安信集团安域云防护的监测数据显示，截至12月10日中午12点，已发现近1万次利用该漏洞的攻击行为。奇安信应急响应中心已接到十余起重要单位的漏洞应急响应需求，并于12月9日晚间将漏洞信息上报了相关主管部门。补天漏洞响应平台负责人介绍，12月9日深夜，仅一小时内就收到白帽黑客提交的百余条该漏洞的信息。

而此前就十分猖獗的网络勒索软件，通过利用Log4j2漏洞被发现后各大企业尚未及时修补前的间隙，发起了新一轮大规模勒索攻击。来自KnownSec 404 团队和深信服威胁情报团队的研究人员报告称，TellYouThePass、Khonsari等勒索软件正利用该漏洞针对 Linux 和 Windows 系统发起进攻，在用户终端直接完成安装。

据工信部于12月17日在其官网发布的《关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示》显示，2021年12月9日，工业和信息化部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告，阿帕奇Log4j2组件存在严重安全漏洞。工业和信息化部立即组织有关网络安全专业机构开展漏洞风险分析，召集阿里云、网络安全企业、网络安全专业机构等开展研判，通报督促阿帕奇软件基金会及时修补该漏洞，向行业单位进行风险预警。

在此之前，我国对网络漏洞的处理方式和流程已做出具体要求。《网络安全法》第二十五条规定：“网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。”

今年7月，工业和信息化部、国家互联网信息办公室、公安部联合发布《网络产品安全漏洞管理规定》，对网络产品提供者、运营者及信息共享平台的责任与义务提出更为详细的要求。其第七条规定，网络产品提供者在发现或者获知所提供网络产品存在安全漏洞后，应当立即采取措施并组织验证，评估其危害程度和影响范围，并在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息；对属于其上游产品或者组件存在的安全漏洞，应当立即通知相关产品提供者；对于需要产品用户（含下游厂商）采取软件、固件升级等措施的应及时告知并提供必要的技术支持。

平台方面，工业和信息化部网络安全威胁和漏洞信息共享平台同步向国家网络与信息安全信息通报中心、国家计算机网络应急技术处理协调中心通报相关漏洞信息。

据方宁介绍，目前国内的国家级漏洞采集共享平台主要包括CNVD（国家信息安全漏洞共享平台）、CNNVD（国家信息安全漏洞库）等，此类平台往往招募了大量第三方安全企业长期向其输送网络安全漏洞，这些第三方企业作为相关部门的支撑单位，需要依据规定及时将发现的漏洞提交到国家采集平台上。

目前，受到Log4j2漏洞影响和威胁的企业与组织数量仍在持续增长，据火线Apache Log4j2 漏洞影响面查询网站统计显示，截至发稿前，该漏洞已影响超6万个开源软件，涉及相关版本软件包32万余个。

除企业外，一些政府机构和 社会 组织由于未及时修补Log4j2漏洞，也成为黑客的攻击目标。据报道，当地时间12月16日，比利时国防部遭到黑客利用该漏洞发起的攻击，比利时国防部长回应称，其安全团队正努力保证网络安全，防止再发生类似事件。

尽管在12月8日， Apache官方就已发布Log4j2安全更新，但其影响预计还将持续很长一段时间。

“可能还需要至少6个月，才能把本次漏洞的影响面缩减到比较小的范围内。”方宁解释称，此类0day漏洞（已被发现但还未推出相关补丁的漏洞）刚被爆出时，往往是对安全问题较为重视并有相应财力、人力的企业最早完成修复，大量的中小企业如果没有专门的网络安全部门和团队，可能都无法获知相关的情况。

方宁表示，当前各大安全厂商已提供了一些自动化检测工具和脚本，现在最重要的是企业和相关单位重视起来，根据国家漏洞库、漏洞平台给出的解决方案，对照自己的产品系统进行检查。上述北京网络安全公司技术人员则表示，很多开发者及时升级软件版本，就可以避免被黑客利用漏洞进行攻击，“最关键的还是要做好自查和升级。”

更多内容请下载21 财经 APP

数据库放在阿里云被黑客攻击，数据库被删掉了，数据库也加密了

那只能加防御，等待阿里云解封，如果数据备案了可以换个防御值高的服务器

导致阿里云被暂停合作的漏洞 究竟是什么？

新京报贝壳 财经 讯（记者 罗亦丹）因发现安全漏洞后的处理问题，近日阿里云引发了一波舆论。

据媒体报道，11月24日，阿里云安全团队向美国开源社区Apache（阿帕奇）报告了其所开发的组件存在安全漏洞。12月22日，因发现Apache Log4j2组件严重安全漏洞隐患后，未及时向电信主管部门报告，阿里云被暂停作为工信部网络安全威胁信息共享平台合作单位6个月。

12月23日，阿里云在官方微信公号表示，其一名研发工程师发现Log4j2 组件的一个安全bug，遂按业界惯例以邮件方式向软件开发方Apache开源社区报告这一问题请求帮助，“随后，该漏洞被外界证实为一个全球性的重大漏洞。阿里云因在早期未意识到该漏洞的严重性，未及时共享漏洞信息。”

“之前发现这样的漏洞都是直接通知软件开发方，这确实属于行业惯例，但是《网络产品安全漏洞管理规定》出台后，要求漏洞要同时通报给国家主管部门。由于上述法案颁布的时间不是很长，我觉得漏洞的发现者，最开始也未必能评估到漏洞影响的范围这么大。所以严格来说，这个处理不算冤，但处罚其实也没有那么严格，一不罚钱，二不影响做业务。””某安全公司技术总监郑陆（化名）告诉贝壳 财经 记者。

漏洞影响有多大？

那么，如何理解Log4j2漏洞的严重程度呢？

安全公司奇安信将Apache Log4j2漏洞的CERT风险等级定为“高危”，奇安信描述称，Apache Log4j 是 Apache 的一个开源项目，通过定义每一条日志信息的级别，能够更加细致地控制日志生成过程，“Log4j2中存在JNDI注入漏洞，当程序将用户输入的数据进行日志记录时，即可触发此漏洞，成功利用此漏洞可以在目标服务器上执行任意代码。”

安域云防护的监测数据显示，截至12月10日中午12点，已发现近1万次利用该漏洞的攻击行为。据了解，该漏洞影响范围大，利用方式简单，攻击者仅需向目标输入一段代码，不需要用户执行任何多余操作即可触发该漏洞，使攻击者可以远程控制受害者服务器，90%以上基于java开发的应用平台都会受到影响。

“Apache Log4j RCE 漏洞之所以能够引起安全圈的极大关注，不仅在于其易于利用，更在于它巨大的潜在危害性。当前几乎所有的技术巨头都在使用该开源组件，它所带来的危害就像多米诺骨牌一样，影响深远。”奇安信安全专家对贝壳 财经 记者表示。

“这个漏洞严重性在于两点，一是log4j作为java日志的基础组件使用相当广泛，Apache和90%以上的java应用受到影响。二是这个漏洞的利用入口非常多，几乎达到了（只要）是这个漏洞影响的范围，只要有输入的地方就受到影响。用户或者攻击者直接可以输入的地方比如登录用户名、查询信息、设备名称等等，以及一些其他来源的被攻击者污染的数据来源比如网上一些页面等等。”从事多年漏洞挖掘的安全行业老兵，网友“yuange1975”在微博发文称。

“简而言之，该漏洞算是这几年来最大的漏洞了。”郑陆表示。

在“yuange1975”看来，该漏洞出来后，因为影响太广泛，IT圈都在加班加点修补漏洞。不过，一些圈子里发文章为了说明这个漏洞的严重性，又有点用了过高评价这个漏洞的词语，“我不否认这个漏洞很严重，肯定是排名很靠前的漏洞，但是要说是有史以来最大的网络漏洞，就是说目前所有已经发现公布的漏洞里排第一，这显然有点夸大了。”

“log4j漏洞发现者恐怕发现漏洞时对这个漏洞认识不足，这个应用的范围以及漏洞触发路径，我相信一直到阿里云上报完漏洞，恐怕漏洞发现者都没完全明白这个漏洞的真正严重性，有可能当成了Apache下一个普通插件的一个漏洞。”yuange1975表示。

9月1日起施行新规 专家：对于维护国家网络安全具有重大意义

据了解，业界的开源条例遵循的是《负责任的安全漏洞披露流程》，这份文件将漏洞披露分为5个阶段，依次是发现、通告、确认、修复和发布。发现漏洞并上报给原厂商，是业内常见的程序漏洞披露的做法。

贝壳 财经 记者观察到，白帽黑客建立漏洞发现与收集的平台并告知企业的做法一度在圈内流行。根据《 财经 天下》的报道，把漏洞报给原厂商而不是平台方，也会有潜在的好处。包括微软、苹果和谷歌在内的厂商对报告漏洞的人往往会有奖励，“最高的能给到十几万美元”。更重要的是名誉奖励。几乎每一家厂商对第一个报告漏洞的人或者集体，都会公开致谢。“对于安全研究人员而言，这种名声也会让他们非常在意。

不过，今年9月1日后，这一行业“常见程序”就要发生变化。

7月13日，工信部、国家网信办、公安部印发《网络产品安全漏洞管理规定》，要求任何组织或者个人设立的网络产品安全漏洞收集平台，应当在两日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。该规定自2021年9月1日起施行。

值得注意的是，《规定》中也有漏洞发现者需要向产品相关提供者通报的条款。如《规定》第七条第一款显示，发现或者获知所提供网络产品存在安全漏洞后，应当立即采取措施并组织对安全漏洞进行验证，评估安全漏洞的危害程度和影响范围；对属于其上游产品或者组件存在的安全漏洞，应当立即通知相关产品提供者。第七条第七款则表示，不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。

奇安信集团副总裁、补天漏洞响应平台主任张卓在接受新京报贝壳 财经 记者采访时表示，《网络产品安全漏洞管理规定》释放了一个重要信号：我国将首次以产品视角来管理漏洞，通过对网络产品漏洞的收集、研判、追踪、溯源，立足于供应链全链条，对网络产品进行全周期的漏洞风险跟踪，实现对我国各行各业网络安全的有效防护。在供应链安全威胁日益严重的全球形势下，《规定》对于维护国家网络安全，保护网络产品和重要网络系统的安全稳定运行，具有重大意义。

张卓表示，《规定》第十条指出，任何组织或者个人设立的网络产品安全漏洞收集平台，应当向工业和信息化部备案。同时在第六条中指出，鼓励相关组织和个人向网络产品提供者通报其产品存在的安全漏洞，还“鼓励网络产品提供者建立所提供网络产品安全漏洞奖励机制，对发现并通报所提供网络产品安全漏洞的组织或者个人给予奖励。”这两条规定规范了漏洞收集平台和白帽子的行为，有利于让白帽子在合法合规的条件下发挥更大的 社会 价值。

阿里云未及时通报重大漏洞，会造成什么后果？

阿里云发布关于开源社区Apache log4j2漏洞情况的说明。阿里云表示，Log4j2 是开源社区阿帕奇（Apache）旗下的开源日志组件，被全世界企业和组织广泛应用于各种业务系统开发。

工业和信息化部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告，阿帕奇Log4j2组件存在严重安全漏洞。工业和信息化部立即组织有关网络安全专业机构开展漏洞风险分析，召集阿里云、网络安全企业、网络安全专业机构等开展研判，通报督促阿帕奇软件基金会及时修补该漏洞，向行业单位进行风险预警。

阿里云没有及时通报会造成什么后果？国内企业在发现网络安全漏洞后应该走什么程序通报？观察者网带着这些问题采访了一些业内人士。

漏洞银行联合创始人、CTO张雪松向观察者网指出，Log4j2组件在java类系统中应用极其广泛，漏洞危害可以迅速传播到各个领域。由于阿里云未及时向中国主管部门报告相关漏洞，直接造成国内相关机构处于被动地位。

阿里云一名研发工程师发现Log4j2 组件的一个安全bug，遂按业界惯例以邮件方式向软件开发方Apache开源社区报告这一问题请求帮助。Apache开源社区确认这是一个安全漏洞，并向全球发布修复补丁。随后，该漏洞被外界证实为一个全球性的重大漏洞。

阿里云称，因在早期未意识到该漏洞的严重性，未及时共享漏洞信息。此后，阿里云将强化漏洞管理、提升合规意识，积极协同各方做好网络安全风险防范工作。

2021财年（2020年4月1日至2021年3月31日跨年度），阿里云营收达601亿元，比上一财年400亿元收入大幅增长50%，在阿里集团财年总营收7173亿元总营收比例为8.38%。600亿元总收入，超过多数上市公司年度总收入。

阿里云为什么会遭遇ddos攻击

今日，阿里云企业认证微博称，在12月20日至21日，阿里云上一家知名游戏公司遭到了一次DDoS攻击，攻击时间长达14小时，攻击峰值流量达到453.8Gb。具体是哪家游戏公司遭到攻击和遭受攻击的原因，目前阿里尚未透露。阿里云表示，对这次黑客攻击行为表示谴责，并呼吁所有互联网创新企业共同抵制黑客行为。“面对黑客攻击，阿里云决不妥协。”

阿里云服务器刚买两天就被攻击当肉鸡，黑客怎么做到的

您这服务器是被黑客入侵了，被黑的因素 一般都是程序留了后门或vps内被留了系统内核级别的木马 或网站的代码留了隐蔽性的木马或一句话shell

一般都是网站程序存在漏洞或者服务器存在漏洞而被攻击了

服务器被黑是每个网站管理员最头痛的问题 也可以通过安全公司来解决，国内也就Sinesafe和绿盟等安全公司 比较专业.