Texto/Red de observadores Lu Dong
Este incidente se originó hace un mes. En ese momento, después de que un miembro del equipo de Alibaba Cloud descubriera una grave vulnerabilidad de seguridad en el componente Apache Log4j2, lo informó inmediatamente a la Apache Software Foundation en los Estados Unidos, pero no al Ministerio de Industria y Tecnología de la Información. de China según sea necesario. Medio mes después del incidente, el Ministerio de Industria y Tecnología de la Información de China recibió un informe de una organización profesional de seguridad de redes y descubrió graves vulnerabilidades de seguridad en los componentes de Apache.
¿Cuáles son exactamente las vulnerabilidades en el componente Apache? ¿Cuáles serán las consecuencias si Alibaba Cloud no informa a tiempo? ¿Qué procedimientos deberían seguir las empresas nacionales para informar sobre vulnerabilidades de seguridad después de descubrirlas? Observer.com entrevistó a algunos expertos de la industria con estas preguntas.
Zhang Xuesong, cofundador y CTO de Vulnerability Bank, señaló a Observer.com que el componente Log4j2 se usa ampliamente y que los peligros de vulnerabilidad pueden extenderse rápidamente a varios campos. Debido a que Alibaba Cloud no informó oportunamente las vulnerabilidades relevantes a las autoridades chinas, las instituciones nacionales relevantes quedaron en una posición pasiva.
Con respecto al papel clave del componente Log4j2 en el campo de las redes informáticas, algunos internautas extranjeros utilizaron dibujos animados para ilustrarlo vívidamente. Interpretado según esta imagen, sin el soporte de los componentes Log4j2, toda infraestructura digital moderna está en peligro de colapsar.
Usuarios extranjeros de redes sociales explicaron la importancia de Log4j2 en forma de cómics
La cronología de la revisión de Observer.com sobre las graves vulnerabilidades de seguridad en Apache es la siguiente:
Según información pública, Apache Log4j2, la vulnerabilidad descubierta esta vez por el equipo de seguridad de Alibaba Cloud, es una herramienta de registro de Java de código abierto que controla la generación, impresión, configuración de formato, etc. de información de registro del sistema Java, y es utilizada por una gran cantidad de marcos comerciales. Por lo tanto, este componente se usa ampliamente en diversas aplicaciones y servicios de red.
Expertos de alto nivel de la industria dijeron a Observer.com que las vulnerabilidades de seguridad en el componente Log4j2 tienen principalmente dos impactos: primero, Log4j2 en sí se usa ampliamente en sistemas basados en Java y se usa en casi todos los marcos de trabajo de Java en todo el mundo. mundo. En segundo lugar, los detalles de la vulnerabilidad se han hecho públicos y casi no existe un umbral técnico debido a las condiciones de explotación extremadamente bajas. Debido a su amplio alcance de aplicación y baja dificultad de explotación de vulnerabilidades, el impacto se extendió de inmediato y rápidamente a varios sectores industriales.
En pocas palabras, esta vulnerabilidad permite a un atacante de la red acceder al servidor de la red sin contraseña.
Esto no es alarmista. Tras obtener la información, Associated Press y otros medios extranjeros comentaron que esta vulnerabilidad puede ser la vulnerabilidad informática más grave descubierta en los últimos años. Log4j2 es "ubicuo" en servidores en la nube y software empresarial utilizado por toda la industria y el gobierno. Incluso los delincuentes, los espías e incluso los programadores novatos pueden utilizar fácilmente esta vulnerabilidad para ingresar a redes internas, robar información, instalar malware y eliminar información clave, etc.
Captura de pantalla del sitio web oficial de Alibaba Cloud
Sin embargo, después de que Alibaba Cloud descubriera esta "vulnerabilidad única más grande y crítica en los últimos diez años", no siguió la "Seguridad de productos de red". El artículo 7 del Reglamento de gestión de vulnerabilidades exige que la información se informe a la Plataforma de intercambio de información sobre vulnerabilidades y amenazas de seguridad cibernética del Ministerio de Industria y Tecnología de la Información dentro de los 2 días, pero solo se notificó la información relevante a la Apache Software Foundation.
Observer.com buscó información pública y encontró que la Apache Software Foundation (Apache) se estableció en los Estados Unidos en 1999. Es una organización sin fines de lucro dedicada a apoyar proyectos de software de código abierto. En los proyectos y subproyectos de Apache que admite, los productos de software lanzados siguen la licencia Apache.
El 10 de diciembre, más de medio mes después de que Alibaba Cloud informara la vulnerabilidad a la Apache Software Foundation, la Plataforma Nacional de Intercambio de Vulnerabilidades de Seguridad de la Información de China obtuvo información relevante y emitió el boletín de seguridad "Acerca de" para la ejecución remota de código. Vulnerabilidad en Apache Log4j2" afirma que Apache ha lanzado oficialmente un parche para corregir la vulnerabilidad y recomienda que los usuarios afectados actualicen inmediatamente a la última versión y tomen medidas preventivas para evitar la amenaza de ataques de vulnerabilidad.
Captura de pantalla del sitio web oficial de la Plataforma Nacional de Intercambio de Vulnerabilidades de Seguridad de la Información de China.
De hecho, existe un proceso claro para informar sobre las vulnerabilidades de las redes nacionales. Los expertos de la industria dijeron a Observer.com que el proceso común de informes de vulnerabilidades en la industria son las unidades miembro > Administración de Ciberseguridad del Ministerio de Industria y Tecnología de la Información > Plataforma Nacional de Intercambio de Vulnerabilidades de Seguridad de la Información (CNVD) CVE Centro de Evaluación de Seguridad de la Información de China > Vulnerabilidad Nacional de Seguridad de la Información Base de datos (CNNVD) > Organización internacional sin fines de lucro CVE; unidades o individuos no miembros se registran para presentar CNVD o CNNVD.
Según información pública, CVE (Common Vulnerability Sharing Disclosure) es una organización internacional sin fines de lucro que coordina a las empresas para reparar y resolver problemas de seguridad desde que esta tecnología de vulnerabilidad fue iniciada por primera vez. Estados Unidos, Comité, por lo que el órgano de dirección organizacional se encuentra principalmente en Estados Unidos. CNVD es la plataforma de intercambio de información sobre vulnerabilidades de seguridad de la información de China. Es una base de conocimientos para compartir información sobre vulnerabilidades de seguridad de la información establecida por importantes unidades de sistemas de información nacionales, operadores de telecomunicaciones básicas, fabricantes de seguridad de redes, fabricantes de software y empresas de Internet.
Los expertos de la industria antes mencionados creen que Alibaba ha sido reportada como una vulnerabilidad típica debido a su mayor impacto esta vez. Antes del establecimiento de CNVD y en los últimos años, el personal de seguridad nacional tenía un mayor conocimiento, reconocimiento y popularidad de CVE. Los investigadores de seguridad que encontraron vulnerabilidades presentarían CVE por inercia. Aunque el país ha establecido CNVD en los últimos dos años, la popularidad no lo ha hecho. No es suficiente. Se estima que cuando los investigadores de seguridad de Alibaba presentaron vulnerabilidades, las consideraron logros técnicos personales y las informaron a organizaciones internacionales para su coordinación y reparación.
Sin embargo, de acuerdo con las últimas "Regulaciones de gestión de vulnerabilidades de seguridad de productos de red", los investigadores de seguridad nacionales solo necesitan informar la vulnerabilidad a CNVD después de descubrirla. CNVD iniciará el proceso de informe a CVE y coordinará a los fabricantes y. empresas para reparar vulnerabilidades de seguridad, no está permitido enviar directamente a plataformas de vulnerabilidad extranjeras.
Dado que el comportamiento de Alibaba Cloud esta vez no apoyó eficazmente la gestión de vulnerabilidades y amenazas de ciberseguridad del Ministerio de Industria y Tecnología de la Información, según la última notificación del Ministerio de Industria y Tecnología de la Información, la Administración de Ciberseguridad del Ministerio El Departamento de Industria y Tecnología de la Información decidió suspender Alibaba Cloud como unidad de cooperación antes mencionada durante 6 meses después del estudio. Una vez que expire el período de suspensión, Alibaba Cloud estudiará la restauración de sus unidades cooperativas mencionadas anteriormente en función de la situación de rectificación.
Los conocedores de la industria señalaron a Observer.com que esta vez el Ministerio de Industria y Tecnología de la Información está apuntando a Alibaba, lo que en realidad es una advertencia para los profesionales de la industria de seguridad de redes nacionales. A juzgar por los resultados, el castigo de Ali fue leve. En primer lugar, no fue expulsado de la unidad de miembros, sino que fue suspendido por 6 meses. En segundo lugar, el Ministerio de Industria y Tecnología de la Información no impuso sanciones administrativas ni advertencias individuales a los investigadores de seguridad involucrados en este incidente, sino que solo nombró y criticó al experto en seguridad que informó directamente sobre la vulnerabilidad de Log4j a CVE extranjeros.
Este artículo es un manuscrito exclusivo de Observer.com y no puede reproducirse sin autorización.