¿Cuál es la vulnerabilidad que provocó que Alibaba Cloud suspendiera la cooperación?

Beijing News Guoke Finance News (Reportero Luo Yidan) Recientemente, Alibaba Cloud ha provocado una ola de opinión pública debido a su manejo de las vulnerabilidades de seguridad.

Según informes de los medios, el 24 de noviembre, el equipo de seguridad de Alibaba Cloud informó a la comunidad estadounidense de código abierto Apache sobre vulnerabilidades de seguridad en los componentes que desarrolló. El 22 de diciembre, Alibaba Cloud fue suspendida de la lista de información sobre amenazas a la seguridad de la red del Ministerio de Industria y Tecnología de la Información porque no informó oportunamente una vulnerabilidad de seguridad grave a las autoridades de telecomunicaciones después de descubrir una vulnerabilidad de seguridad grave en el componente Apache Log4j2. **Conviértete en socio de la plataforma durante medio año.

El 23 de diciembre, Alibaba Cloud declaró en su cuenta pública oficial de WeChat que uno de sus ingenieros de I+D descubrió una vulnerabilidad de seguridad en el componente Log4j2 y posteriormente envió un correo electrónico al desarrollador de software, la comunidad de código abierto Apache. , para informar el problema y pedir ayuda, "más tarde se confirmó que la vulnerabilidad era una vulnerabilidad significativa a nivel mundial". Alibaba Cloud no proporcionó información sobre vulnerabilidades de manera oportuna porque no se dio cuenta de la gravedad de la vulnerabilidad en una etapa temprana.

"En el pasado, los desarrolladores de software eran notificados directamente cuando se descubrían tales vulnerabilidades. Esto es cierto, es una práctica de la industria, pero después de la promulgación del "Reglamento de gestión de vulnerabilidades de seguridad de productos de red", se requiere informar a los departamentos nacionales pertinentes al mismo tiempo. Dado que no hace mucho se promulgaron las "Regulaciones de gestión de vulnerabilidades de seguridad de productos de red", creo que es posible que el descubridor de la vulnerabilidad no pueda evaluar el alcance de la vulnerabilidad al principio. En sentido estricto, este tipo de trato no es injusto, pero el castigo en realidad no es tan severo. En primer lugar, no hay multa y, en segundo lugar, no afecta a los negocios". Zheng Lu (seudónimo), director técnico de una empresa de seguridad, dijo a los periodistas de Shell Finance.

¿Qué tan grande es el impacto de la vulnerabilidad?

Entonces, ¿cómo entender la gravedad de la vulnerabilidad Log4j2?

La empresa de seguridad QinetiQ calificó el nivel de riesgo CERT de la vulnerabilidad Apache Log4j2 como "alto riesgo" y lo describió como un proyecto Apache de código abierto que logra un proceso de registro más detallado al definir el nivel de cada información de registro. "Existe una vulnerabilidad de inyección JNDI en Log4j2. Cuando el programa registra datos ingresados ​​por el usuario, esta vulnerabilidad puede activarse. Los usuarios que explotan con éxito esta vulnerabilidad pueden ejecutar código arbitrario en el servidor de destino

Monitoreo de datos". de Security Domain Cloud Protection muestra que hasta las 12 del mediodía del 10 de diciembre, se han descubierto casi 10.000 ataques que explotan esta vulnerabilidad. Se entiende que esta vulnerabilidad tiene un gran impacto y es fácil de explotar. El atacante solo necesita ingresar un fragmento de código en el objetivo y no requiere que el usuario realice ninguna operación adicional para activar la vulnerabilidad. El atacante puede controlar remotamente el servidor víctima. Más del 90% están desarrollados en base a Java. Todas las plataformas de aplicaciones se verán afectadas.

"La vulnerabilidad Apache Log4j RCE ha atraído gran atención por parte de la comunidad de seguridad no solo porque es fácil de explotar, sino también por su daño potencial. Casi todos los gigantes tecnológicos están utilizando actualmente este componente de código abierto. El daño es de tan largo alcance como el del dominó", dijeron los expertos en seguridad de Qianxun a los periodistas de Shell Finance.

"La gravedad de esta vulnerabilidad radica en dos puntos. En primer lugar, log4j se utiliza ampliamente como componente básico del registro de Java. Más de 90 aplicaciones Java como Apache se han visto afectadas. En segundo lugar, la entrada al exploit Esta vulnerabilidad es mucho, casi en la medida en que (siempre que) se vea afectado por esta vulnerabilidad, siempre que haya entrada, el usuario o atacante puede ingresar directamente el nombre de usuario de inicio de sesión, consultar información, nombre del dispositivo, etc., o directamente "Las fuentes de datos contaminados por los atacantes son algunas páginas web en Internet", dijo en Weibo Yuange1975, un veterano en la industria de la seguridad y un internauta que ha estado involucrado en la minería de vulnerabilidades durante muchos años.

"En resumen, esta vulnerabilidad es la mayor vulnerabilidad de los últimos años". Dijo Zheng Lu.

Según "yuange1975", después de que salió la vulnerabilidad, el círculo de TI estuvo trabajando horas extras para solucionar la vulnerabilidad debido a su amplio impacto.

Sin embargo, algunas personas en la industria han publicado artículos para explicar la gravedad de esta vulnerabilidad, y su evaluación de esta vulnerabilidad es demasiado alta: "No niego que esta vulnerabilidad es muy grave, debe ser una vulnerabilidad de muy alto rango". vulnerabilidad, pero es La vulnerabilidad de red más grande de la historia, lo que significa que todas las vulnerabilidades descubiertas hasta ahora se publican en el ranking, es obviamente un poco exagerado " "

"Me temo que los buscadores de vulnerabilidades de log4j son. No es suficiente al buscar vulnerabilidades. Para comprender el alcance de la aplicación y la ruta de activación de esta vulnerabilidad, creo que antes de que Alibaba Cloud informara sobre esta vulnerabilidad, es posible que los buscadores de vulnerabilidades no se hayan dado cuenta completamente de la verdadera gravedad de esta vulnerabilidad y pueden considerarla. como un complemento normal para Apache. "

Expertos sobre la implementación de nuevas regulaciones el 1 de septiembre: es de gran importancia para mantener la seguridad de la red nacional.

Lo es. Entiendo que las regulaciones de código abierto de la industria siguen el documento "Proceso de divulgación de vulnerabilidades de seguridad responsable", que divide la divulgación de vulnerabilidades en cinco etapas, a saber, descubrimiento, notificación, confirmación, reparación y liberación. Descubrir vulnerabilidades e informarlas al fabricante original es una práctica común en la industria para la divulgación de vulnerabilidades de programas.

Un periodista de "Shell Finance" observó que la práctica de los hackers de sombrero blanco de establecer una plataforma de descubrimiento y recopilación de vulnerabilidades e informar a las empresas alguna vez estuvo de moda en la industria. Según Financial World, también existen beneficios potenciales al informar las vulnerabilidades al fabricante original en lugar de a la plataforma. Proveedores como Microsoft, Apple y Google suelen ofrecer recompensas de "hasta 100.000 dólares" a las personas que informan sobre vulnerabilidades. Aún más importantes son las recompensas por la reputación. Casi todos los proveedores agradecen públicamente a la primera persona o grupo que informa una vulnerabilidad. "Para los investigadores de seguridad, esta reputación también es muy preocupante.

Sin embargo, después del 1 de septiembre de este año, este "procedimiento general" en la industria está a punto de cambiar.

El 13 de julio , el Ministerio de Industria y Tecnología de la Información, la Oficina Estatal de Información de Internet y el Ministerio de Seguridad Pública emitieron el "Reglamento sobre la gestión de vulnerabilidades de seguridad de productos de red", que exige que cualquier organización o individuo establezca una plataforma de recopilación de vulnerabilidades de seguridad de productos de red y infórmelo a la plataforma de recopilación de vulnerabilidades de seguridad de productos de red dentro de los 2 días. La plataforma de intercambio de información sobre vulnerabilidades y amenazas a la seguridad de la red del Ministerio de Industria y Tecnología de la Información informará información relevante sobre vulnerabilidades a partir del 1 de septiembre de 2021.

Vale la pena. señalando que el "Reglamento" también incluye disposiciones que exigen que los descubridores de vulnerabilidades notifiquen a los proveedores de productos pertinentes. Por ejemplo, el artículo 7, párrafo 1, del "Reglamento" muestra que después de descubrir o ser informado de que existe una vulnerabilidad de seguridad en un determinado producto. producto de red, se deben tomar medidas de inmediato y la organización debe tomar medidas inmediatas. Se deben tomar medidas para verificar las vulnerabilidades de seguridad y evaluar el alcance del daño y el alcance del impacto. Si existen vulnerabilidades de seguridad en los productos o componentes ascendentes, los proveedores de productos relevantes deben ser; notificado de inmediato. El artículo 7, párrafo 7, estipula que la información de seguridad de productos de red no divulgada no se proporcionará a organizaciones o personas extranjeras que no sean proveedores de productos de red.

Zhang Zhuo, vicepresidente y director del Grupo Qiansheng. de Butian Vulnerability Response Platform, dijo en una entrevista con el reportero de Beijing News Guoke Finance: Las "Regulaciones de gestión de vulnerabilidades de seguridad de productos de red" emitieron una señal importante: mi país llevará a cabo la gestión de vulnerabilidades desde una perspectiva de producto por primera vez, a través de la recopilación , investigación, seguimiento y rastreo de vulnerabilidades de productos de red, y en función de toda la cadena y el ciclo completo de la cadena de suministro, llevamos a cabo la gestión de vulnerabilidades de ciclo completo a través de la recopilación, la investigación, el seguimiento y la trazabilidad de las vulnerabilidades de productos de red. seguimiento de riesgos de productos de red basado en toda la cadena de suministro para lograr una protección efectiva de la seguridad de la red en diversas industrias en mi país. En el contexto de amenazas cada vez más graves a la seguridad de la cadena, los "Reglamentos" son de gran importancia para mantener la seguridad de la red nacional y. garantizar el funcionamiento seguro y estable de productos de red y sistemas de red importantes.

Zhang Zhuo dijo que el artículo 10 del "Reglamento" es de gran importancia y señala que cualquier organización o individuo que establezca un producto de red. La plataforma de recopilación de vulnerabilidades de seguridad debe registrarse en el Ministerio de Industria y Tecnología de la Información. Al mismo tiempo, se señala en el artículo 6 que se alienta a las organizaciones e individuos relevantes a informar las vulnerabilidades de seguridad de sus productos a los proveedores de productos de red. Los proveedores de productos deben establecer un mecanismo de recompensa por las vulnerabilidades de seguridad en los productos de red que ofrecen, y recompensar a las organizaciones o individuos que descubran e informen sobre vulnerabilidades de seguridad en los productos de red que ofrecen".

Estas dos regulaciones estandarizan el comportamiento de las plataformas de recopilación de vulnerabilidades y los sombreros blancos, y ayudan a los sombreros blancos a ejercer un mayor valor social en condiciones legales y de cumplimiento.