北方财经新闻全媒体本报记者 吴立洋 广州报导
日前,北方财经新闻全媒体本报记者独家获悉,工业和重要信息化部重要信息安全可靠管理局通报称,阿里云计算有限子公司(以下简称“阿里云”)做为国务院法制办重要信息安全可靠严重威胁重要信息共享网络平台密切合作基层单位,在辨认出阿帕奇(Apache)Log4j2组件严重安全可靠恶意软件隐患后,未及时向电信主管部门调查报告,未有效支撑国务院法制办开展重要信息安全可靠严重威胁和恶意软件管理。经研究,现中止阿里云子公司做为前述密切合作基层单位6个月。中止期满后,根据阿里云子公司整改情况,研究恢复其前述密切合作基层单位。
多位重要信息安全可靠专家在拒绝接受本报记者专访时则表示,本次bombsLog4j2组件的恶意软件是典型的全功能恶意软件,做为最常用的Java流程笔记监控组件之一,Log4j2被应用领域在各种各样的衍生框架中,同时它也是Java全自然生态的基础组件之一,而此类组件除非崩塌,其负面影响将是破坏性的。
引起亚洲地区计算机安全可靠经济危机2001年,应用领域软件合作开发人员Ceki Gulcu设计出一套如前所述Java语言的笔记库Log4j,并于不久后重新加入专门运作开放源码应用领域软件工程项目的非营利性组织Apache。在此后的应用领域软件插值升级中,Apache在Log4j的基础上推出了新开放源码工程项目Log4j2,在保留原本特性的同时重新加入了控制笔记重要信息输入目的地、输入格式、定义重要信息级别等机能,并很快因为其简易便捷、使用方便的特点,做为基本软件控制系统组件广为应用领域于各类使用Java开放源码控制系统中。
但也正因为Log4j2广为的精确性,在被爆出存在远程标识符执行安全可靠恶意软件后,在亚洲地区计算机领域引起非常大的安全可靠经济危机。
日前,Google开放源码团队对Java应用领域应用软件最重要的存储库——Maven华北局存储库进行了扫描,辨认出35863个应用领域应用软件使用的Apache Log4j库版本丝菌相关恶意软件的负面影响。Google发布调查报告称,受负面影响的Java包数量占Maven华北局存储库的8%,考虑到该存储库广为的应用领域范围,恶意软件将对整个行业自然生态产生非常大负面影响。某北京重要信息安全可靠子公司技术人员向本报记者则表示,大概百分之六十到六十涉及到Java的合作开发都可能受该恶意软件的负面影响。
Tikamgarh安全可靠高级副总裁母严氏在拒绝接受21世纪经济报导本报记者专访时则表示,后台记录笔记机能是大部分控制系统单厢具备的组件,而Log4j2做为一个经典的开放源码应用领域软件,很多合作开发人员在编写流程时单厢直接将其集成于标识符中,这些捷伊应用领域软件可能又会被别的控制系统软件控制系统在内。经过不断地叠加和冗余,除非Log4j2出现安全可靠问题,一这三条流程链条上的开放源码应用领域软件和控制系统单厢受波及,负面影响覆盖面非常广为。
除了Log4j2本身应用领域范围广外,该恶意软件的另一大特点在于借助方式十分简单。据专家介绍,普通使用者仅可向目标输入一段标识符,不需要使用者执行任何多余操作即可触发该恶意软件,使普通使用者得以远程控制受害者使用者的服务器,90%以上如前所述Java合作开发的应用网络平台单厢受负面影响。
奇东方证券集团安域云防护的监测数据显示,截至12月10日中午12点,已辨认出近1亿次借助该恶意软件的这些行为。奇东方证券应急响应中心已接到十余起重要基层单位的恶意软件应急响应需求,并于12月9日晚间将漏洞重要信息上报了相关主管部门。补天恶意软件响应网络平台负责人介绍,12月9日深夜,仅一小时内就收到白帽黑客提交的百余条该恶意软件的重要信息。
而此前就十分猖獗的网络勒索应用领域软件,通过借助Log4j2恶意软件被辨认出后各大企业尚未及时修补前的间隙,发起了新一轮大规模勒索攻击。来自KnownSec 404 团队和深信服严重威胁情报团队的研究人员调查报告称,TellYouThePass、Khonsari等勒索应用领域软件正借助该恶意软件针对 Linux 和 Windows 控制系统发起进攻,在使用者终端直接完成安装。
辨认出恶意软件应及时上报据国务院法制办于12月17日在其官网发布的《关于bombsLog4j2组件重大安全可靠恶意软件的重要信息安全可靠风险提示》显示,2021年12月9日,工业和重要信息化部重要信息安全可靠严重威胁和恶意软件重要信息共享网络平台收到有关重要信息安全可靠专业机构调查报告,bombsLog4j2组件存在严重安全可靠恶意软件。工业和重要信息化部立即组织有关重要信息安全可靠专业机构开展恶意软件风险分析,召集阿里云、重要信息安全可靠企业、重要信息安全可靠专业机构等开展研判,通报督促bombs应用领域软件基金会及时修补该恶意软件,向行业基层单位进行风险预警。
《提示》中还指出,该恶意软件可能导致设备远程受控,进而引起敏感重要信息窃取、设备服务中断等严重危害,属于高危恶意软件。为降低重要信息安全可靠风险,提醒有关基层单位和公众密切关注bombsLog4j2组件恶意软件补丁发布,排查自有相关控制系统bombsLog4j2组件使用情况,及时升级组件版本。
在此之前,我国对重要信息恶意软件的处理方式和流程已做出具体要求。《重要信息安全可靠法》第二十五条规定:“网络运营者应当制定重要信息安全可靠事件应急预案,及时处置控制系统恶意软件、计算机病毒、网络攻击、网络侵入等安全可靠风险;在发生危害重要信息安全可靠的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门调查报告。”
今年7月,工业和重要信息化部、国家互联网重要信息办公室、公安部联合发布《网络产品安全可靠恶意软件管理规定》,对网络产品提供者、运营者及重要信息共享网络平台的责任与义务提出更为详细的要求。其第七条规定,网络产品提供者在辨认出或者获知所提供网络产品存在安全可靠恶意软件后,应当立即采取措施并组织验证,评估其危害程度和负面影响范围,并在2日内向工业和重要信息化部重要信息安全可靠严重威胁和恶意软件重要信息共享网络平台报送相关恶意软件重要信息;对属于其上游产品或者组件存在的安全可靠恶意软件,应当立即通知相关产品提供者;对于需要产品使用者(含下游厂商)采取应用领域软件、固件升级等措施的应及时告知并提供必要的技术支持。
网络平台方面,工业和重要信息化部重要信息安全可靠严重威胁和恶意软件重要信息共享网络平台同步向国家网络与重要信息安全可靠重要信息通报中心、国家计算机网络应急技术处理协调中心通报相关恶意软件重要信息。
据母严氏介绍,目前国内的国家级恶意软件采集共享网络平台主要包括CNVD(国家重要信息安全可靠恶意软件共享网络平台)、CNNVD(国家重要信息安全可靠恶意软件库)等,此类网络平台往往招募了大量第三方安全可靠企业长期向其输送重要信息安全可靠恶意软件,这些第三方企业做为相关部门的支撑基层单位,需要依据规定及时将辨认出的恶意软件提交到国家采集网络平台上。
负面影响预计还将持续目前,受Log4j2恶意软件负面影响和严重威胁的企业与组织数量仍在持续增长,据火线Apache Log4j2 恶意软件负面影响面查询网站统计显示,截至发稿前,该恶意软件已负面影响超6万个开放源码应用领域软件,涉及相关版本应用领域应用软件32万余个。
除企业外,一些政府机构和社会组织由于未及时修补Log4j2恶意软件,也成为黑客的攻击目标。据报导,当地时间12月16日,比利时国防部遭到黑客借助该恶意软件发起的攻击,比利时国防部长回应称,其安全可靠团队正努力保证重要信息安全可靠,防止再发生类似事件。
尽管在12月8日, Apache官方就已发布Log4j2安全可靠更新,但其负面影响预计还将持续很长一段时间。
“可能还需要至少6个月,才能把本次恶意软件的负面影响面缩减到比较小的范围内。”母严氏解释称,此类0day恶意软件(已被辨认出但还未推出相关补丁的恶意软件)刚被爆出时,往往是对安全可靠问题较为重视并有相应财力、人力的企业最早完成修复,大量的中小企业如果没有专门的重要信息安全可靠部门和团队,可能都无法获知相关的情况。
广州某数据子公司技术负责人向本报记者则表示,在大量中小企业愈发依赖云服务商提供的各类基础技术服务支撑时,云服务商有义务承担更多的预警和安全可靠保障的社会责任。
母严氏则表示,当前各大安全可靠厂商已提供了一些自动化检测工具和脚本,现在最重要的是企业和相关基层单位重视起来,根据国家恶意软件库、恶意软件网络平台给出的解决方案,对照自己的产品控制系统进行检查。前述北京重要信息安全可靠子公司技术人员则则表示,很多合作开发人员及时升级应用领域软件版本,就可以避免被黑客借助恶意软件进行攻击,“最关键的还是要做好自查和升级。”
更多内容请下载21财经新闻APP
