如何看待阿里云被暂停工信部网络安全威胁信息共享平台合作单位？ 第2页

也许阿里云有错，但更大的错在某些公众号和想炫耀技术的人

最早，只是个别几位大佬了解这个漏洞并成功复现，管理员在群里明确说明：不要再讨论这个漏洞了，禁止公布漏洞细节，大家聊其他的事情。当时我分析Log4j2源码，并阅读官方文档，参考commit，大概推测出了漏洞原理，简单尝试后成功RCE，不过我并没有告诉任何人，也不打算在任何平台分享，开始写漏洞分析文章，打算等官方通报并发布新版本后发表

本以为没什么事，结果当天晚上某公众号发出了漏洞利用的细节，在安全圈中称之为POC：能够让完全不懂Java安全的小白也可以利用该漏洞。该公众号有不少的粉丝，人传人，后果就是全网脚本小子的狂欢，疯狂dnslog。该公众号管理员中，能独立分析出漏洞利用细节的安全人员确实是懂技术的，但是，为了炫耀技术也好，为了公众号粉丝也罢，都不应该发出去

实际情况不只是这篇公众号，还有很多具有一定技术的安全人员，为了炫耀等原因，将自己研究出的漏洞细节公布，无论是发到安全交流群里，或是发到博客，或者公众号，或者抖音B站等。让广大脚本小子群体得知了该漏洞利用细节，这才是该漏洞被广泛利用并造成危害最根本的原因

其实该漏洞的挖掘难度不是非常大，如果告诉你Log4j2有JNDI注入漏洞，然后给你一份源码，熟悉Java安全的师傅们基本都可以找到。但任何人通过任何方式利用了该漏洞，如果造成损失和影响，都可能会算到阿里云头上，因为漏洞报告者是阿里云

阿里发现漏洞，报告给阿帕奇，美国就得知了漏洞，此时中国所有大公司（除了阿里）都面临高危风险（包括很多军工保密单位）。中国处于完全被动状态，阿里和美国掌握主动权，此时美国窃取中国信息轻而易举。

如果阿里先报告给政府，可以保证中国所有大公司都已知了风险，不会那么的被动。

信息时代，微小时间差就会产生不可估量的数据泄露。

不要说什么开源精神，国家利益高于一切，看看英特尔不用新疆产品，你能有啥反制措施？log4j2漏洞这机会千载难逢，被断送

漏洞细节

在谈论阿里之前，我们先从技术处理层面看一下这个事情。关于这件事其实有很多细节都还没有披露出来，目前Apache方面的通告基本可以参考这个：

搜索"CVE-2021-44228"就可以看到Apache关于这个漏洞的描述，我摘取前面的一部分放在下面，大家可以看到这个漏洞的描述、影响范围(from 2.0-beta9 to 2.14.1)、安全级别、以及修复版本号（当然Apache和下游的供应商也会想办法在早先的版本上修复这个问题)等。

Fixed in Log4j 2.15.0 (Java 8)

CVE-2021-44228: Apache Log4j2 JNDI features do not protect against attacker controlled LDAP and other JNDI related endpoints.

CVE-2021-44228 Remote Code Execution
Severity Critical
Base CVSS Score 10.0 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Versions Affected All versions from 2.0-beta9 to 2.14.1

Description
In Apache Log4j2 versions up to and including 2.14.1 (excluding security releases 2.3.1, 2.12.2 and 2.12.3), the JNDI features used in configurations, log messages, and parameters do not protect against attacker-controlled LDAP and other JNDI related endpoints. An attacker who can control log messages or log message parameters can execute arbitrary code loaded from LDAP servers when message lookup substitution is enabled.

感兴趣的可以打开上面的链接自己看一下，后面还有很多内容。比如给出了在未修复的版本上如何暂时“缓解”这个漏洞办法，还有他们如何在各个版本上解决这个问题的方案等。当然最后也明确感谢了漏洞的发现方：

Credit:
This issue was discovered by Chen Zhaojun of Alibaba Cloud Security Team.

以及追踪解决这个漏洞的过程：

Limit the protocols JNDI can use and restrict LDAP.
Message lookups should be disabled by default

阿里错在哪里

对技术细节感兴趣的可以翻看上面的部分的更多链接，了解更多技术细节。因为问题问的是如何看待阿里云被罚，所以我们还是说一下阿里的问题在哪。

从时间线上看：

• 1）上面Apache没有给出他们具体收到阿里报告的时间，但是从bug的追踪记录看绝对早于2021年12月5日，甚至可能早于12月。那阿里到底是哪一天察觉这一漏洞的，目前还没有官方明确的信息，相信应该更早。
• 2）那么工业和信息化部网络安全威胁和漏洞信息共享平台（后面简称为“工信部”）又是什么时候才知道这个事情的呢？根据工信部官方的描述，他们是在2021年12月9日才得知这一漏洞的：

2021年12月9日，工业和信息化部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告，阿帕奇Log4j2组件存在严重安全漏洞。

那12月9日是个什么日子？12月9日是Apache已经在自己的版本上处理完了这个漏洞（甚至应该也提前已知会了一些相关公司等），然后公开披露的日子，也就是说到这一天你想不知道都难，因为这一天全世界搞这方面的都会知道了，你想不知道都会有人跟你聊起来。而工信部就像这个“一直被蒙在鼓里的傻孩子”，新闻中的措辞是工信部“收到有关网络安全专业机构报告”，这就相当于是大家都知道了，然后才有人过来告诉你，而这个“有关网络安全专业机构”可能还不是阿里，如果是阿里可能工信部就直接说了。

从这里我们就可以看出，阿里错在过于敷衍了工信部的地位，或者他们自己低估了这个事件可能带来的影响力。不管是哪个，都是阿里内部管理上的问题。因为从技术规范角度来说，从开源软件中发现漏洞后报给上游软件供应者一点问题都没有，工信部也不会因为你把问题报给Apache而处罚。问题出在把问题上报给工信部的时间，甚至可能一直都没上报给工信部，工信部可能最终也是从别人那知道的。

这就问题大了，工信部不是一个简单的部门，他下面牵连着很多相关成员。或者换句话说你可以将工信部理解为阿里云的重量级客户（虽然不是直接客户），这样问题就很好理解了，甲方爸爸管你吃管你穿，结果有这么大一个漏洞你不第一个告诉我就忍了，我竟然差不多是大家都知道后最后一个知道的。

这就好比有一个熊孩子，发现他爸爸正在穿的一条裤子后面有了个洞，然后他第一个先打电话通知了这条裤子的生产厂商，说你们这个款式 的裤子的某个位置没缝好有个洞，生产厂商知道后感谢了熊孩子，并表示一定尽快修复这条生产线的做工问题。然后熊孩子就美滋滋的回家睡觉去了，任凭他爸爸穿着那条破洞的裤子被人看了好几天都不知道，直到生产厂商那边解决了生产问题，通告下来说所有穿这款裤子的人都注意一下自己的裤子有洞，并明确感谢了这个熊孩子，这时他爸爸还不知道，直到一个同事看到了这个通告，认出了是XXX的儿子，这时他的爸爸才知道自己一直穿着破洞的裤子给别人看，而他的儿子是第一个知道的。你想想如果这是你的儿子，你禁他半年零花钱过分不？

到此，阿里云被工信部处罚暂停合作6个月已经不算重了。要不是看在还是自家儿子的份上早就终止一切合作了。

对阿里的影响

这件事对阿里的影响应该是不言而喻的：

1. 首先好的影响是让阿里的技术团队的能力得到肯定，毕竟发现了这个漏洞。
2. 不好的影响就比较多了，最直接的就是其被信任的程度直接下降，这会成为阿里云和其它人谈合作的一个污点。
3. 另外一个直接的不好影响就是阿里的股票可能会再次下跌，造成公司的经济损失（不知道我那几个在阿里云工作的朋友今年的年终奖怎么样）。要知道阿里的股票已经带着中概股一路下跌了：

阿里云部分本来没怎么跌，结果现在整这么一出，估计阿里云的部分也得跌。唉，不知道该怎么评价阿里了。你说你可怜它是中国企业吧，它接连干出来的事情确实不地道，你说你惩罚他吧，自己又肉疼。只能希望阿里能吸取教训，重新振作吧，别总自己作自己。

这也能扯这么多？

就是单纯不知道这个流程而已，很简单的。真正干活的工程师不可能知道这份规定的，怎么公开怎么PR，肯定是领导和相关部门说了算的。

实际上不上报也未造成任何影响，因为这个事很快就人尽皆知了。只是和工信部网络安全威胁信息共享平台合作的流程上出了问题。完全不涉及爱国不爱国，3.75还是3.0的。实际上就是你不上报，平台肯定也知道了（否则那真是有大问题了），但你把平台规定当摆设也不对，这次借机打个杀威棒。

贴一下相关规定：

（一）发现或者获知所提供网络产品存在安全漏洞后，应当立即采取措施并组织对安全漏洞进行验证，评估安全漏洞的危害程度和影响范围；对属于其上游产品或者组件存在的安全漏洞，应当立即通知相关产品提供者。
（二）应当在 2 日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。

可以看到规定要求先通知上游（Apache），再在2日内发送相关漏洞信息。所以不涉及爱不爱国，单纯是相关规范不了解，通知社区是程序员的职业素养，而不知道还有这么个事而已。

信息共享平台的意义本来就是你知道有漏洞了上报，平台分享给其他成员，大家都能及时得到通知。你在那收别人的信息收的欢，自己发现的反而没报告，这算啥……暂停自然就是为这个事情的警告。

安全漏洞这种事情为什么需要有信息共享平台，因为安全信息的送达是分秒必争的，如果安全漏洞在被发现之后先被攻击者知晓，就会造成不可挽回的损失，所以有必要有专门的通知渠道，保证在漏洞被广泛揭晓之前，先给关键服务提供商修复的机会，国家主导的平台就是为了确保有个尽量可信的送达机制能让这样的信息在尽可能保密的情况下尽快送达各个合作方，阿里因为自身疏忽没好好配合，那不就是没有尽到合作方义务吗？

安全漏洞研究是必须要遵循工作流程规范的，如果工作没做好，反而会成为攻击者的帮凶。这就好比好心帮忙检查大楼坚固不坚固当然是好事，但检查的时候一声招呼不打直接把楼弄塌了，他是好心，你要在楼里面你怎么想？