阿里云高危漏洞未上報工信部終止合作單位6個月

2021-12-30 16:35:53|

來源：搜狐科技作者：

近日，阿里云公司發(fā)現(xiàn)阿帕奇(Apache)Log4j2組件嚴重安全漏洞隱患后，未及時向電信主管部門報告，未有效支撐工信部開展網(wǎng)絡安全威脅和漏洞管理。經(jīng)研究，現(xiàn)暫停阿里云公司作為工信部網(wǎng)絡安全威脅信息共享平臺合作單位6個月。暫停期滿后，根據(jù)阿里云公司整改情況，研究恢復其上述合作單位。

對此，搜狐科技向阿里云方面詢問漏洞細節(jié)，截至發(fā)稿前，暫未收到回復。

據(jù)了解，Apache Log4j2的漏洞由阿里云團隊發(fā)現(xiàn)。11月24日，阿里云安全團隊曾向Apache官方報告了Apache Log4j2遠程代碼執(zhí)行漏洞。由于Log4j2組件在處理程序日志記錄時存在JNDI注入缺陷，未經(jīng)授權的攻擊者利用該漏洞，可向目標服務器發(fā)送精心構造的惡意數(shù)據(jù)，觸發(fā)Log4j2組件解析缺陷，實現(xiàn)目標服務器的任意代碼執(zhí)行，獲得目標服務器權限。

不過，直到12月9日，工信部網(wǎng)絡安全威脅和漏洞信息共享平臺才收到有關網(wǎng)絡安全專業(yè)機構報告，組織應對策略并對外公布風險。12月17日，工信部通報稱，該漏洞可能導致設備遠程受控，進而引發(fā)敏感信息竊取、設備服務中斷等嚴重危害，屬于高危漏洞。目前，Apache官方已發(fā)布補丁。

據(jù)了解，自該漏洞公開以來，很多網(wǎng)站如百度等都是此次執(zhí)行漏洞的受害者，很多互聯(lián)網(wǎng)企業(yè)也都連夜做了應急措施。

除本次暫停合作外，今年11月，工業(yè)和信息化部網(wǎng)絡安全管理局、公安部刑事偵查局也曾聯(lián)合約談阿里云、百度云兩家企業(yè)相關負責人，通報了近期兩家企業(yè)在防范治理電信網(wǎng)絡詐騙工作中存在的接入涉詐網(wǎng)站數(shù)量居高不下等問題。

標簽：阿里云高危漏洞工信部網(wǎng)絡安全合作單位