資料圖片,來源:Freepik

網絡程式語言 Java 早前爆出世紀大漏洞 Log4j,率先發現並向 Log4j 所屬非牟利組織 Apache 基金會匯報的是阿里巴巴旗下阿里雲的安全團隊,大陸媒體「南方財經全媒體」報道,阿里雲因此事被工業和信息化部網絡安全管理局(工信部)指「未及時向電信主管部門報告」,罰阿里雲暫停同工信部的合作 6 個月,並根據阿里雲的整改情況,決定是否再度錄用。

被形容為可能是電腦史上最大漏洞的 Log4j 事件於 11 月 24 日揭發,當時阿里雲一名隸屬安全團隊的員工 Chen Zhaojun (筆名) 向專門支援開源(open source)軟件專案的 Apache 基金會發了一封電郵:「我要匯報一個安全漏洞,這漏洞可導致嚴重後果。」他之後在電郵闡釋黑客可以怎樣利用 Log4j 的漏洞,遙控遭入侵的電腦,使之成為殭屍網絡,或竊取用戶資料。

Apache 旗下一群志願程式員立即投入修復工作,希望在外界未得知這世紀漏洞前研究出補救措施。12 月 8 日,他們再次收到 Chen Zhaojun 的電郵,又是一次噩耗:「部分 WeChat (微信)安全聊天群組已在討論這個漏洞的細節,一些安全人員已發現漏洞。我們答允在你們未發布官方修復方案前保密事件,請快點。」

根據網絡安全公司 Cloudflare 行政總裁 Matthew Prince 表示,當時已有不少黑客利用 Log4j 的漏洞四出攻擊,其實早於 12 月 1 日,相關攻擊行動已顯著增加。在收到 Chen Zhaojun 第二封電郵後大約 20 小時,Apache 公布修復方案,引發全球黑客,包括「國家級」黑客團隊出動,大規模攻擊。

根據工信部官網的通告,當局於 12 月 9 日收到有關 Log4j 的報告,立即召集阿里雲、網絡安全企業、網絡安全專業機構等開會,「通報督促阿帕奇軟件基金會(即 Apache)及時修補該漏洞」,並向行業發布預警。

大陸於今年 7 月發布《網絡產品安全漏洞管理規定》,當中第7條指出,網絡產品提供者在發現安全漏洞後,要在 2 日內向工信報匯報。第 9 條提到「不得將未公開的網絡產品安全漏洞信息向網絡產品提供者之外的境外組織织或者個人提供。」

南方財經全媒體的報道指,工信部認為阿里雲作為工信部安全威脅信息平台合作單位,在發現 Log4j 組件嚴重安全隱患後,未有及時向電信主管部門匯報,未有效支撑工信部開展網絡安全威脅和漏洞管理。決定暫停阿里雲作為合作單位 6 個月。期滿後需根據阿里雲的整改情況,研究是否恢復合作。

報道引述白帽子開發者平台「火綫安全」的數據, Log4j 漏洞影響超過 6 萬個開源軼件,涉及相關版本軟件包超過 32 萬。