中国网络安全监管部门星期三(12月22日)暂停阿里云公司作为工信部网络安全威胁信息共享平台合作单位的资格6个月。此前,阿里云在发现一款基于Java语言的开源日志框架组件严重安全漏洞隐患后,未及时按程序向工信部报告。
今年11月24日,阿里云安全团队发现阿帕奇Log4j2组件存在远程代码执行漏洞,并将漏洞情况告知阿帕奇软件基金会。 但是,作为工信部网络安全威胁信息共享平台合作单位的阿里云,没有及时将这个安全漏洞报告给工信部网安局。
直到12月9日,工业和信息化部网络安全威胁和漏洞信息共享平台才收到有关网络安全专业机构的报告,称阿帕奇Log4j2组件存在严重安全漏洞。
中国媒体报导说,工信部称,阿里云发现网络安全漏洞却不及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理,因此暂停阿里云作为工信部网络安全威胁信息共享平台合作单位的资格半年,并在暂停期满后,根据阿里云公司整改情况,再研究是否恢复其合作单位的资格。
Apache Log4j2远程代码执行漏洞可能导致设备远程受控,进而引发敏感信息窃取、设备服务中断等严重危害,属于高危漏洞。
工信部12月17日发布了关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示,提醒有关单位和公众密切关注阿帕奇Log4j2组件漏洞补丁发布,排查自有相关系统阿帕奇Log4j2组件使用情况,及时升级组件版本。
路透社称,工信部对阿里云的处罚凸显出中国当局以国家安全为由,加强对关键网络基础设施控制的努力。中国当局还要求国企在明年把他们的数据储存从阿里云和腾讯云等私营公司,迁移到国家支持的云系统。