撰文 / 《財經天下》周刊作者 康嘉林

編輯 / 游勇

阿里云因為一個安全漏洞，被推到了風口浪尖。

起因是11月24日，阿里云安全團隊向美國開源社區Apache（阿帕奇）報告了一條安全漏洞。這是一條Log4j2遠程代碼執行（RCE)漏洞，全球各地的安全機構都已發出了警告。

這原本只是一個小圈子內的事情，但隨著事態擴大，阿里云在這過程中的處置方法遭到了質疑。阿里云把這個安全漏洞報告給美國阿帕奇后，并沒有及時向國家工信部報告。直到15天后，工信部才知曉，并立即組織了有關網絡安全專業機構開展漏洞風險分析，向行業單位進行風險預警。

據中國日報報道，因為沒有及時向電信主管部門報告信息安全漏洞，工信部網絡安全管理局最終決定，暫停阿里云作為上述合作單位6個月。暫停期滿后，根據阿里云整改情況，研究恢復其上述合作單位。

不過，工信部網站只發布了風險提示，并沒有對阿里云進行相關處罰的通報。“因為是暫停合作，并非行政處罰?！睋晃恢槿耸客嘎?。

在行業人士看來，阿里云的做法符合之前的行業規范，但從今年開始，對于國內從事網絡安全的企業和人員提出了更多的要求。阿里云被處罰一事也在警示著大家：在信息安全面前，國家利益大于一切。

“核彈級”的漏洞

“Log4j2安全漏洞的影響面特別大?！绷帜暎ɑΑ敦斀浱煜隆分芸f，他是國內一位知名的網絡安全專家。

Log4j2的漏洞采用的是java的一個組件，用來寫日志，因為比較好用，所以被廣泛采用。林默聲介紹，用java開發的大部分東西都會用到Log4j的組件，所以這次出現漏洞之后，影響非常深遠。

據稱，攻擊者可以通過這個漏洞提取敏感數據、將文件上傳到服務器、刪除數據、安裝勒索軟件、或進一步散播到其它服務器。外界甚至將這一漏洞形容為“核彈級”。一位安全領域的專家告訴《財經天下》周刊，Log4j2作為組件一般位于軟件供應關系的底層，因此關于此漏洞的放大效應將逐漸顯現。

11月24日，這個漏洞率先被阿里云的團隊發現，并將這一信息報告給了Log4j的運營方阿帕奇基金會。

奧地利和新西蘭官方的計算機應急小組率先對這一漏洞進行了預警。而后，美國國家安全局、德國電信CERT也都緊急發出了安全預警，而我國工信部也將該安全漏洞定性為高危漏洞。

12月7日，在阿里云團隊發現漏洞后的兩周時間，Apache官方發布了安全補丁，可并沒有多大作用。

危害已經產生，勒索軟件已經開始盯上了這個漏洞。而奇安信安全服務團隊透露，截至12月13日，已經陸續接到10多起利用ApacheLog4j2漏洞勒索攻擊的應急響應需求。其攻擊源主要分布在荷蘭、中國、德國、美國、奧地利等國家。目前，新西蘭計算機緊急響應中心（CERT）、美國國家安全局、德國電信CERT、中國國家互聯網應急中心（CERT/CC）等多國機構相繼發出警告，足見該漏洞所引發的擔憂與疑慮。

有關報道顯示，黑客在72小時內利用Log4j2漏洞，向全球發起了超過84萬次攻擊。

影響還在持續，因為修補漏洞會是一個漫長的過程。官方在源代碼的漏洞補上之后，引用這個源代碼的所有軟件還需要修復，修復之后還得讓這個軟件的所有客戶升級才行。而這個漫長過程給攻擊者留出了很大的空間。

此前，已有安全專家撰文預測，該漏洞的影響還會持續數月，屆時相關的攻擊和影響面才會有所減弱。

開源熱潮席卷全球，縱觀全球信息產業，更是呈現“得開源者得生態，得開源者得天下 ”的態勢。開源最大的特點無疑是全球共享和開放屬性，導致任何一個極為基礎的代碼漏洞都可能引發連鎖的蝴蝶效應，各大互聯網企業計算平臺會組建安全專家進行巡邏和探針，用于發現安全漏洞。

正如奇安信的預測，ApacheLog4j2漏洞影響面大，利用門檻低，未來幾天會有更多的僵尸網絡、挖礦病毒、勒索軟件等利用此漏洞發起攻擊，其危害不容忽視。

阿里云錯在哪兒？

在這件事情的處理上，阿里云的做法存在問題。由于阿帕奇軟件基金會成立于美國，阿里云的問題在于，將漏洞及時報告給了美國，相反卻沒有向我國工信部報告，屁股坐歪了。

不過，也有業內人士提出，發現外國開源軟件漏洞，向廠家反饋是正常操作。

一位程序員告訴《財經天下》周刊，業界的開源條例遵循的是《負責任的安全漏洞披露流程》，這份文件將漏洞披露分為5個階段，依次是發現、通告、確認、修復和發布。發現漏洞并上報給原廠商，是業內常見的程序漏洞披露的做法。

2017年10月，微軟發布了新一輪安全更新，修復了Office的高危漏洞(CVE-2017-11826)。黑客可以利用該漏洞，發送惡意的Office文件，用戶中招后會成為被控制的“肉雞”。

而發現該漏洞的是360安全團隊。根據360的描述，360通過與微軟安全團隊的積極配合，火速推進了該漏洞補丁的發布，使其在發現一周內得以妥善修復。在后續的官方公告中，微軟對360的貢獻進行了公開致謝。

而在2018年，騰訊電腦管家安全團隊也因為捕獲了一例Flash 0day漏洞，并迅速上報給了Adobe官方。對方發布公告專門對騰訊表示了感謝。

2020年，騰訊安全團隊向Linux社區提交了兩個Linux X.25套接字漏洞，該漏洞的風險等級高，攻擊者利用漏洞可能控制整個系統。這些漏洞尚未被修復時，騰訊已將漏洞細節按Linux社區規則予以公開披露。

而且，林默聲對《財經天下》周刊透露，把漏洞報給原廠商而不是平臺方，也會有潛在的好處。包括微軟、蘋果和谷歌在內的廠商對報告漏洞的人往往會有獎勵，“最高的能給到十幾萬美元”。

更重要的是名譽獎勵。幾乎每一家廠商對第一個報告漏洞的人或者集體，都會公開致謝?！皩τ诎踩芯咳藛T而言，這種名聲也會非常在意?！绷帜曊f，獲得廠商致謝的次數，也是網絡安全行業的研究人員比拼的東西，“你今年得到了5次致謝，我得到了10次，我就比你牛”。

另外，“咱們的漏洞平臺又修復不了，這就是為什么要報給原廠商。”林默聲說。

但是，除了行業規則，國家相關部門在今年有了新的規定。2021年7月，工信部、網信辦和公安部聯合下發的《關于印發網絡產品安全漏洞管理規定的通知》中規定，發現或者獲知所提供網絡產品存在安全漏洞后，應當立即采取措施并組織對安全漏洞進行驗證，評估安全漏洞的危害程度和影響范圍；對屬于其上游產品或者組件存在的安全漏洞，應當立即通知相關產品提供者。

該通知同時規定，發現漏洞后，還應當在2日內向工信部網絡安全威脅和漏洞信息共享平臺（CNVD）報送相關漏洞信息。

上述安全專家猜測，工程師一般本著解決軟件漏洞的思維，重點放在解決技術問題上，對于上報、政策等環節或許沒有經驗，但此次事件反映出云計算廠商還需增強在安全漏洞方面的敏感度。

“過去這么多年的規矩都是這樣的，阿里云也是按照老黃歷來辦事的，只不過現在的政策有不同的要求了，大的形勢也不一樣了?！绷帜曊f，“阿里云不見得是有意為之。”

“阿里云這次如果是兩邊同時報了會好一點，或者時間差不要這么大?！绷帜曊f，國內還是通過外媒的炒作才知道有這么一個漏洞。

在復雜的國際形勢下，阿里云的做法顯得非常不合時宜?！案舯谑浅鸺?，你告訴仇家你的門沒關好，你啥意思？而且不僅僅是涉及他們家的門，我們家也用了這個門，你是不是應該先告訴自己家？”林默聲打了個比方，這個漏洞不僅僅是原廠商的問題，也與國內利益息息相關。客觀上，攻擊者可以利用這個漏洞修補的間隙來攻擊國內的基礎設施。

但也有分析認為，阿里云起初并沒有意識到這個漏洞的嚴重性。這一點從阿里云官方聲明中也能得到核實。“在發現該安全bug后，按業界慣例以郵件方式向軟件開發方Apache開源社區報告這一問題并請求幫助。因在早期未意識到該漏洞的嚴重性，未及時共享漏洞信息?！?/p>

從示范到示警

阿里云作為國內最大的云計算公司，此前一直是其他云計算公司學習的對象。

今年，阿里云迎來了自己的第三個盈利季度，是第二家宣布盈利的行業選手，而第一家是亞馬遜的AWS。十年間，盡管云計算行業從小眾走向輝煌，但虧損難題一直是云企內部的心病，如鯁在喉。

一直以來，國內云計算發展重心根植于重資產的IaaS而非高毛利的SaaS產品，重資產意味著高投入，馬云十年前內部講話的那句“每年投10億，投個10年，做不出來再說”尤在耳畔，云計算堪比碎鈔機，能否盈利？起碼在國內是一個沒有無解的題目。

現在，阿里云的盈利成績單給出了解題思路，一位業內人士告訴《財經天下》周刊，阿里云摸著石頭過河，其他廠商摸著阿里云過河。

腳踩著堅硬石頭，阿里云將云和釘釘打通為一體，將云的基礎能力通過釘釘呈現給企業用戶，提高業務數字化效率，這種模式也曾是微軟切入云的重要工具，憑借Azure云+Teams組合拳，微軟在云計算行業中崛起并縮小了與AWS的差距。

如今有樣學樣，阿里云在云上構建中臺、數據中心等基礎設施，落地則由釘釘的應用執行，直接調用云上工具。在企業尋求數字化轉型時，可以通過這套流程直接購買大型系統，再適配企業間的具體業務模塊，用低代碼開發應用，直接上云。

在今年舉行的云棲大會上，《財經天下》周刊獨家獲悉，阿里云內部再一次組織梳理與升級，云釘一體后，平頭哥與云智能、達摩院部門實現平級。平頭哥是阿里巴巴旗下芯片公司，由達摩院和中天微共同成立，原本是阿里達摩院旗下組織，達摩院被視作是阿里內部的“核高基”項目組，其下設語音、視覺、智能計算、量子等多個實驗室，是主攻前沿技術的機構平臺。

這體現了平頭哥、達摩院和云計算在技術上分層、協同的狀態，平頭哥從底層芯片提供彈性、通用資源，相當于云的底座；達摩院在上層提供數據化、智能化的可能性。

過去十年，云計算屬于技術人員，未來，云計算將橫向拓展至非互聯網企業的生態中，將有更多非技術性傳統企業知道如何用云，這是阿里云探索出的云方向，這一趨勢或將給中國云市場帶來更多的利潤空間。

云作為一種商業模式，在中國市場終于“跑通”了基礎邏輯，開始變現。可以說，此時此刻，阿里云的一舉一動都對行業起著示范效應。

但這次的漏洞披露事件，則是一次警醒，作為頭部的云計算企業需要更嚴苛的標準要求自己。

今年年中，浙江省通信管理局通報阿里云未經用戶同意擅自將用戶留存的注冊信息泄露給第三方合作公司，自查后的阿里云稱是內部電銷員工違反紀律，潦草蓋過質疑聲。

《財經天下》周刊獲悉，相比大眾的質疑聲浪，行業內部的整頓從上周末便已開始。一家小型云計算的企業負責人何野（化名）說，上周五，先是召集了主力工程師打補丁，內部評測的結果是漏洞的挖掘難度不是非常大。本周公司會再梳理一遍流程制度，用于程序員培訓。

如果業務體量不大，對于上報流程和政策解讀確實會有所缺失。這則事件確實敲響了警鐘，不能低估影響面，“有些事不上秤沒有二兩重，一上秤一千斤也打不住?！焙我皳糁辛藛栴}的要害，“這種問題，早發現、早解決，對阿里云和其他網絡安全威脅信息共享平臺成員都是有益的?！?/p>

關鍵詞： 漏洞 阿里云 安全漏洞 財經天下 廠商 工信部 微軟 周刊