阿帕奇:羅Sir說—合規 | 安全漏洞砸中, 阿里云再遭點名!

|羅Sir說原創出品?|

2021年12月22日，工信部網絡安全管理局通報稱，阿里云計算有限公司發現阿帕奇Log4j2組件嚴重安全漏洞隱患后，未及時向電信主管部門報告，未有效支撐工信部開展網絡安全威脅和漏洞管理。阿里云系工信部網絡安全威脅信息共享平臺合作單位，工信部網絡安全管理局決定暫停阿里云作為上述合作單位6個月。暫停期滿后，根據阿里云整改情況，研究恢復其上述合作單位。通報當天，阿里股價應聲而降。

早在2021年12月17日，工信部網絡安全管理局曾發布一則關于阿帕奇Log4j2組件重大安全漏洞的網絡安全風險提示，指出2021年12月9日，工業和信息化部網絡安全威脅和漏洞信息共享平臺收到有關網絡安全專業機構報告，阿帕奇Log4j2組件存在嚴重安全漏洞。近日，阿里云計算有限公司發現阿帕奇Log4j2組件存在遠程代碼執行漏洞，并將漏洞情況告知阿帕奇軟件基金會。

香港將允許散戶投資者在新規則下交易主流加密貨幣，暫時禁止穩定幣、自營交易、借貸等服務:5月23日消息，香港宣布散戶投資者可以根據數字資產行業的新規則進行加密貨幣交易，香港證券及期貨事務監察委員會（SFC）今日下午詳細介紹了零售參與的咨詢總結文件。預計個人投資者從 6 月 1 日開始在適當的保障措施下可以交易 BTC 和 ETH 等主流加密貨幣。

SFC 文件顯示，對于規定非證券型代幣須具有至少 12 個月往績紀錄的意見。穩定幣的監管安排預計將于 2023/24 年實施。在穩定幣于香港受到規管前，穩定幣不應獲納入以供零售買賣。關于自營交易，SFC 同意交易平臺上的流動性對客戶來說十分重要。因此，SFC 允許由第三方做市商進行流動性提供活動。然而，現時禁止自營交易的規定是全面性的，并實際上禁止持牌虛擬資產交易平臺的集團公司擁有任何虛擬資產的持倉。

SFC 表示，平臺營運者不應提供與買賣特定虛擬資產相關的獎勵活動。這項原則構成了規定平臺營運者不應登載有關特定虛擬資產的任何廣告的依據。關于虛擬資產市場上其他常見服務（例如收益、存款及借貸），SFC 不允許持牌虛擬資產交易平臺提供這些服務。[2023/5/23 15:21:04]

什么是阿帕奇Log4j2組件漏洞？

硅谷銀行和Signature Bank前高管將于5月16日在美參議院銀行委員會作證:金色財經報道，美國參議院銀行委員會宣布，倒閉的硅谷銀行（Silicon Valley Bank）和Signature Bank的前高管將于 5 月 16 日在參議院作證。硅谷銀行前首席執行官 Greg Becker、 Signature Bank 前高管 Scott Shay 和 Eric Howell 將首次公開談論銀行倒閉問題，他們可能會受到兩黨參議員的盤問。委員會主席、俄亥俄州民主黨參議員 Sherrod Brown 和高級會員參議員 Tim Scott表示，你們必須為銀行的垮臺負責。[2023/5/4 14:40:44]

阿帕奇Log4j2組件是基于Java語言的開源日志框架，被廣泛用于業務系統開發。該組件存在的遠程代碼漏洞可能導致設備遠程受控，進而引發敏感信息竊取、設備服務中斷等嚴重危害，屬于高危漏洞。

BTC突破29000美元 創2022年6月11日以來新高:金色財經報道，行情顯示，BTC突破29000美元，現報29021.7美元，日內漲幅達到6.09%，創2022年6月11日以來新高，行情波動較大，請做好風險控制。[2023/3/30 13:34:21]

在收到阿帕奇Log4j2組件安全報告后，工業和信息化部已立即組織有關網絡安全專業機構開展漏洞風險分析，召集阿里云、網絡安全企業、網絡安全專業機構等開展研判，通報督促阿帕奇軟件基金會及時修補該漏洞，向行業單位進行風險預警。該漏洞可能導致設備遠程受控，進而引發敏感信息竊取、設備服務中斷等嚴重危害，屬于高危漏洞。為降低網絡安全風險，工業和信息化部提醒有關單位和公眾密切關注阿帕奇Log4j2組件漏洞補丁發布，排查自有相關系統阿帕奇Log4j2組件使用情況，及時升級組件版本。

數據：34,000枚ETH從未知錢包轉移到FTX:金色財經報道，Whale Alert數據顯示，34,000枚ETH（約54,117,103美元）從未知錢包轉移到FTX。[2022/9/15 6:58:41]

而且，由于阿帕奇Log4j2組件是開源代碼，應用非常之廣，此次安全漏洞不只關系到阿里云，還關系到所有使用Log4j2組件進行開發和應用的公司。

什么是CSTIS平臺？

工信部網絡安全威脅和漏洞信息共享平臺于2021年9月1日上線，是一個匯集、通報漏洞信息的共享平臺，合作伙伴基本覆蓋了基礎電信企業、互聯網企業、網絡安全企業。中國電信、中國移動、阿里云、騰訊、京東、360、百度在內的31家企業都是該平臺合作伙伴。

CSTIC平臺建立的初衷顧名思義就是信息共享，及時得到漏洞通知。尤其是這種開源軟件安全漏洞的傳達是分秒必爭的，如果安全漏洞在被發現之后先被攻擊者知曉，就會造成不可挽回的損失。所以有必要建立共享平臺，保證在漏洞被廣泛揭曉之前，先給關鍵服務提供商修復的機會。

跨鏈橋Horizon黑客地址再轉出18,036枚ETH，已轉出地址下62%的資金:6月29日消息，據歐科云鏈鏈上天眼監測，被標記為跨鏈橋Horizon黑客地址（0x0d04開頭）于今日16:18:09分轉出18,036枚ETH至中轉地址（0x7520開頭），隨后分3筆（6,012枚ETH、6,012枚ETH及6,009枚ETH）轉出至3個不同地址。近3日以來，Horizon黑客地址（0x0d04開頭）已轉出約62%的盜取資金，約54,108枚ETH（當前價值超6100萬美元）。[2022/6/29 1:38:56]

而阿里云被暫停合作6個月，對于國內最大的公有云服務商而言，失去了6個月第一時間共享安全信息的渠道，不僅是阿里云，對于其合作方也是不小的損失。據悉，阿里云今年才扭虧轉贏，對于被寄予厚望的阿里云而言，暫停與CSTIS合作顯然不是好消息。

阿里云為什么要被整改？

阿里云在發現漏洞后第一時間告知阿帕奇軟件基金會從技術層面是完全沒有問題，這也有利于漏洞修復，但是阿里云卻沒有第一時間告知CSTIS平臺，違背了信息共享設立之目的，也違反了《網絡產品安全漏洞管理規定》

安全規定第七條規定，網絡產品提供者應當履行下列網絡產品安全漏洞管理義務，確保其產品安全漏洞得到及時修補和合理發布，并指導支持產品用戶采取防范措施：

發現或者獲知所提供網絡產品存在安全漏洞后，應當立即采取措施并組織對安全漏洞進行驗證，評估安全漏洞的危害程度和影響范圍；對屬于其上游產品或者組件存在的安全漏洞，應當立即通知相關產品提供者。應當在2日內向工業和信息化部網絡安全威脅和漏洞信息共享平臺報送相關漏洞信息。報送內容應當包括存在網絡產品安全漏洞的產品名稱、型號、版本以及漏洞的技術特點、危害和影響范圍等。應當及時組織對網絡產品安全漏洞進行修補，對于需要產品用戶采取軟件、固件升級等措施的，應當及時將網絡產品安全漏洞風險及修補方式告知可能受影響的產品用戶，并提供必要的技術支持。

其中第款指出要在2日內向工業和信息化部網絡安全威脅和漏洞信息共享平臺報送相關漏洞信息，顯然阿里云沒有做到。

今天下午阿里云發布的情況說明也證實了這點。

在網絡安全方面，我國起步較晚，2017年才出臺《網絡安全法》，以立法形式明確了服務商的安全報告義務。網絡產品、服務發現其網絡產品、服務存在安全缺陷、漏洞等風險時，應當立即采取補救措施，按照規定及時告知用戶并向有關主管部門報告。

但《網絡安全法》只是一部框架性的法律，如果要實施還需要更多配套法規與實施細則的支撐，于是工信部在2019年9月印發了《公共互聯網網絡安全威脅監測與處置辦法》，也是在這時建立了網絡安全威脅信息共享平臺(https://www.cstis.cn/），負責統一匯集、存儲、分析、通報、發布網絡安全威脅信息，并有權通知存在漏洞、后門的網絡服務和產品的提供者，由其采取整改措施，消除安全隱患。

2021年7月，工信部、部聯合發布安全規定，將“及時向有關主管部門報告”細化為“應當在2日內向工業和信息化部網絡安全威脅和漏洞信息共享平臺報送相關漏洞信息”。而阿里云在2021年12月犯這種未及時報告的錯誤實屬不應該。?

這也給各網絡安全公司敲響了警鐘。網絡產品安全漏洞收集平臺、網絡產品提供者或網絡運營者都應全面梳理自己角色對應的網絡安全漏洞合規義務。相關行業都要構建有效的網絡安全漏洞響應機制，如設立安全運營中心，或在網站、App設立專門頁面接收漏洞報告。并在2日內向工信部報告。如果技術能力相對有限，可以與安全廠商合作建立企業的安全運營中心。企業內部的信息安全部門、IT部門、法務部門等應當共同制定漏洞規則，圍繞接收、響應、處置的流程，草擬漏洞接收后的反饋文本，指定的漏洞報送的格式。

在此基礎上，確保安全漏洞的接收日志留存期限不少于6個月，在草擬上述文本時可參考《網絡安全漏洞管理規范》，謹防觸碰網絡安全紅線。

羅Sir說

羅Sir說是全球區塊鏈合規聯盟官方自媒體，全球區塊鏈合規聯盟提供相關企業業務合規資質服務，歡迎通過郵箱service@gbcuf.com或微信與我們進行更詳細的業務溝通。

來源：金色財經

Tags：阿帕奇ETH虛擬資產SFC阿帕奇幣什么時候上線GETH幣虛擬資產交易是什么意思SFC幣

波場