阿里云发现核弹级漏洞，第一时间报告美国，工信部暂停合作6个月

12月22日，中国日报官微发布消息：工信部相关人士向记者确认，因发现严重漏洞未及时报告，阿里云计算有限公司（阿里云）被暂停工信部网络安全威胁信息共享平台合作单位6个月。

本次事件系统漏洞为阿帕奇（Apache）Log4j2组件存在的远程代码执行漏洞，工信部网站发布了《关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示》的通告。

通告中提示该漏洞可能导致设备远程受控，进而引发敏感信息窃取、设备服务中断等严重危害，属于高危漏洞。一位业内人士称这个漏洞的严重性堪称今年之最，灾难等级为核弹级。面对着核弹级别的漏洞，几乎所有互联网大厂都在颤抖，一众负责网络安全的程序员通宵加班，积极更换jar包，升级版本，就是为了防御住漏洞利用。

那么这个安全漏洞跟阿里云有什么关系，为什么工信部要暂停阿里云作为网络安全威胁信息共享平台合作单位6个月呢。

11月24日，阿里云的安全团队在工作中发现了该漏洞，根据工信部、网信办、公安部《关于印发网络产品安全漏洞管理规定的通知》中，明确规定，应当在2日内，向工业和信息化部、网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括，存在网络产品安全漏洞的产品名称、型号、版本，以及漏洞的技术特点、危害和影响范围等。但是作为工信部网络安全威胁信息共享平台合作单位的阿里云第一时间将漏洞相关信息报给了美国 Apache 官方，却没有报给工信部。

12月9日，在网上出现了大量利用此漏洞的攻击行为。这时工信部才发现这个严重漏洞，也就是说从11月24日到12月9日，半个月的时间内，作为工信部网络安全合作单位的阿里云都没向工信部报告过此漏洞。这就很离谱了，这种行为跟战场上背后捅刀子无异嘛。

不知道大家是否还记得2017年的“永恒之蓝”勒索病毒，那次事件，阅文君切实感受到了被病毒支配的恐惧，当天，阅文君在帮某单位配置调试其准备推广的一个业务系统，而且是在内网调试，跟互联网物理隔离的那种。正当阅文君一边吃着单位小妹给的零食，一边调试系统时，duang，系统蓝屏了，那感觉就是吃着火锅还唱着歌，结果duang，突然就被麻匪劫了!起初，以为是不兼容引起的小故障，结果在尝试修复，重启等操作均无效后渐渐发现了不对，面对桌面出现的提示，以及单位小妹所在的系统推广群里其他省市也反应出现了相同问题的消息。阅文君渐渐消失。之后网上就爆出了“永恒之蓝”勒索病毒在全球爆发的相关信息，包括英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招，该病毒也成为了迄今为止全球最大规模的勒索病毒网络攻击。被勒索支付高额赎金才能解密恢复文件，对重要数据造成严重损失。

当前，网络已经高速发展到“元宇宙”这种科幻概念都快要实现今天，网络安全问题也愈发重要，但是作为在国内网络安全领域首屈一指的阿里云却没起好带头作用，在本次被处罚之前，今年8月就因未经用户同意擅自将用户留存的注册信息泄露给第三方合作公司的行为被浙江省通信管理局通报，11月，又因在防范治理电信网络诈骗工作中存在的接入涉诈网站数量居高不下的问题被工业和信息化部网络安全管理局、公安部刑事侦查局联合约谈。

在这暂停合作的6个月内，阿里云是时候反思一下自身的问题了。

本文由阅文阅见原创，欢迎关注，带你一起长知识！