获知安全漏洞后未及时报告，阿里云被工信部处罚暂停合作单位资格？最新回复来了

工业和信息化部网络安全管理局通报称，阿里云计算有限公司是工信部网络安全威胁信息共享平台合作单位。近日，阿里云公司发现阿帕奇（Apache）Log4j2组件严重安全漏洞隐患后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理。经研究，现暂停阿里云公司作为上述合作单位6个月。

通报指出，阿里云是工信部网络安全威胁信息共享平台合作单位。经研究，工信部网络安全管理局决定暂停阿里云作为上述合作单位6个月。暂停期满后，根据阿里云整改情况，研究恢复其上述合作单位。

据了解，Apache Log4j2作为阿帕奇软件基金会旗下的一款日志纪录工具，是基于Java语言的开源日志框架，被广泛用于业务系统开发。该漏洞可能导致设备远程受控，进而引发敏感信息窃取、设备服务中断等严重危害，属于高危漏洞。阿里云在11月发现了Apache(阿帕奇)史上尽可能最严重的漏洞，但却没有国内主管部门工信部报告，而是首先向美国的Apache软件基金汇报了此问题。最后工信部是从网络安全专业机构得到的消息。阿里云给美国的开源组织上报完了，却把工信部扔下了，属于严重的不合作行为，被工信部暂停合作单位资格6个月。也就是说，当发现漏洞的第一时间，你可以报给Apache，但同时也要报给工信部。而阿里，隔了半个月还没上报，是工信部自己发现的，这就有点离谱了，也难怪工信部处罚它。

这个漏洞究竟有多恐怖，举个例子，攻击者可以利用漏洞远程执行代码，最终获得服务器的最高权限。相当于，我在你家，想干什么，就干什么。一位业内人士这样戏称，这个漏洞的严重性堪称今年之最，灾难等级为核弹级。这次事件几乎波及了所有互联网大厂，面对着核弹级别的漏洞，全网颤抖，各家公司领导都非常重视，“安全人”全体加班，积极更换jar包，升级版本，第一时间防御住漏洞利用，场面真的热闹非凡。甚至连网警都出动，通知各大公司和站长。

此次事件，工信部对阿里的处罚，更多的其实是让大家对于网络安全、和网络信息的保密性更加重视。为什么工信部要和各大互联网公司，一起弄一个网络安全威胁信息共享平台，就是因为安全信息的送达是分秒必争的，如果安全漏洞在被发现之后先被攻击者知晓，就会造成不可挽回的损失，而阿里云，却因为自身疏忽没好好配合，尽到自己合作方的义务。科技无国界，但安全有国界，大敌当前，发现敌情却不报，跟偷摸后撤没有两样。如今被罚，也是自作自受了。

阿里云最新回复：

阿里云承认了先向开源社区汇报安全漏洞，未及时告知合作平台，因在早期未意识到该漏洞的严重性，未及时共享漏洞信息，将强化漏洞管理、提升合规意识，积极协同各方做好网络安全风险防范工作。

阿里云一名研发工程师发现Log4j2 组件的一个安全bug，遂按业界惯例以邮件方式向软件开发方Apache开源社区报告这一问题请求帮助。Apache开源社区确认这是一个安全漏洞，并向全球发布修复补丁。随后，该漏洞被外界证实为一个全球性的重大漏洞。此前一天，澎湃新闻记者从接近工信部人士处获悉，因未及时报告严重安全隐患，阿里云公司被暂停作为工信部网络安全威胁信息共享平台合作单位6个月。事件导火索即为阿帕奇 log4j2 漏洞未及时上报。阿里云官网显示，12月9日，阿里云安全团队发布 Apache Log4j2 远程代码执行漏洞（CVE-2021-44228） 安全通告。据多家外媒报道称，该漏洞最早由阿里云的网络安全专家发现，并在11月24日报告给阿帕奇软件基金会，远早于12月9日工业和信息化部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告的时间节点。