第474章 完全躺贏的博浪
“怎麽樣,我們的損失大不大?”溫良臉上水靜無波,心緒平靜。
重視沒錯,可反正事情已經發生,怎麽都得接受,沒必要為難自己,面對就完事了。
李澤爽朗的笑聲從聽筒中傳出:“不用著急,我們現在還是零損失!”
“嗯?”
“好奇吧?”
“當然,老苗頭給我的消息,能嚴重到他都知道……”
“原來如此!”
說著,李澤收斂了笑意:“知道你身邊有人,排查也花了不少時間,就沒有著急聯系你,從目前的情況來看,已經可以肯定我們會受到的影響微乎其微,可以忽略不計。”
接著李澤詳細解釋了情況:“我們所有對外的服務系統裡面只有早期Apache剛推出時用過這個日志組件,後來因為其開源特性我們棄用了。”
“其中,因為星辰雲系統我們花了很大心血自主研發,幾乎所有第三方開源組件都只是以作參照物而不會並入正式版,所以星辰雲服務等對外的企業級產品也不受影響。”
“而目前逐步進入試點運行的星辰服務系統更是甚少引入過第三方開源組件。”
“另一方面,因為星辰體系的完全自主研發性質,對一些模塊的定義是與目前主流系統全然不同的,比如很大一部分適用於其它系統平台的命令行乃至調用參數的方式等都存在一些定義層面的不同……這當時是因為要規避各類專利侵權風險。”
“總之,得益於你最開始強調的合規性、自主性,我們所有的自主平台在初期雖然走得十分艱難,需新造了一套體系,但也正因為如此,所以因與眾不同而安全。”
說完這些,李澤轉而說道:“根據集團網絡安全與用戶隱私大部門下的網絡安全部門反饋,這個漏洞已被阿裡雲提交給了Apache,另據可靠消息Apache已經開始測試補丁方案,不日將推出。”
“公司相關人員經過海量分析,評估出了這個日志組件漏洞的影響范圍,比非常嚴重還要嚴重,預估是近年來發現的最嚴重的計算機漏洞!”
“攻擊門檻之低超乎想象,攻擊者能通過攻擊漏洞獲得的操作權限堪稱無限!而且據不完全統計,幾乎所有Java類框架都會用這個日志組件,使用范圍之廣也很罕見。”
聽完李澤簡短的描述,溫良笑了起來:“準備準備,阿裡系要遭大殃了。”
“怎麽說。”李澤沒有著急激動,連語氣都認真了起來。
溫良耐心的回答道:“阿裡雲發現了漏洞並報告給開發的行業組織Apache,哪怕只是優先報告,在後續交流中知道漏洞的影響范圍有共享給包括工信在內的相關主管單位,也沒事;
但阿裡雲沒有,不僅是發現時不共享,也不僅僅是知道嚴重情況後還不共享,哪怕是在工信現在已經主動發現了漏洞的情況下,還是沒有通氣……
偏偏漏洞影響范圍廣、攻擊門檻低、攻擊還堪稱無所不在,又是在這種關鍵時候,伱說他不遭殃,誰遭殃?”
李澤很快想到了關鍵點:“印象中相關單位的流程不是很清晰,而且阿裡雲是普通企業,能找借口解釋吧?”
溫良反問:“你覺得以阿裡雲當下的發展態勢,它家業務廣泛不?”
“明白了。”李澤這才興奮起來,“我會好好準備的,你且等著看戲吧,我們在前期因為沒法拿到專利授權、初期因為阿美莉卡人為管束得不到新授權所多花費的每一分研發成本都會在不久的將來賺回來!”
溫良倒是很平靜:“不要先出頭,等一等工信的公告,也別通知友商了,能通知他們的時候會有人主動通告的,我們不要多管閑事。”
李澤應聲。
結束通話後,溫良翻了翻手機,查收了一封幾分鍾前才抄送給他的公司郵件,內容是簡明扼要的描述了這個叫Log4j2的組件漏洞前因後果和影響范圍。
沒有因郵件收件方可能不懂技術而縮略技術分析過程。
博浪的內部流程本來就有一些規定,糊弄的事情不是沒有,而是只要帶了腦子就不會把摻雜糊弄的事情抄送給溫良他們這些高管。
溫良他們是可能不懂技術,但偌大一個博浪,難道找不出一個懂技術的?
而且泛技術部門的人只要帶了腦子上班,就應當清楚主要的兩個經常在公司出沒的技術總工是創始人團隊成員。
一個是李博文,一個是孫寶銀。
更別說另一創始人團隊成員張鬱林是自研操作系統總工啊……這踏馬去糊弄技術內容,比主動離職要更痛快一些。
事實上,讓溫良去敲代碼是真敲不出來,但讓他看技術流程原理……呵呵,你說他能懂不懂吧。
這幾把東西如果毫無參照的情況下,確實模模糊糊,但真要有內容擺在眼前,那是能輕易串起來的。
翻了三分鍾的樣子,溫良嘖嘖稱歎:“這都屬於慣性思維漏洞了,如果當時我還在技術崗位,這玩意估計我有可能發現……”
“居然敢相信人類的輸入每次都無誤……嘖嘖嘖……”
他還真不是自吹自擂。
李澤之所以說這個漏洞的攻擊門檻低到令人發指真有原因,就只是一個簡單的輸入錯誤……比如在輸入url時加入一個空格……就可以繞過各種各樣的校驗,直接在被訪問的機器乃至一整個局域網內執行被預先設定好的任意內容,是任意內容。
什麽讀取文件等等那不過是輕而易舉的事情。
Log4j2日志組件功能很強大,可惜對各類參數的判斷不嚴謹。
總之,以溫良曾經寫代碼時的那種模塊化思維,很容易發現原生組件代碼裡定義的判斷條件不嚴謹。
所以……按照後世阿裡雲方面的辯解,說初期不知道漏洞的嚴重性,屬於公關術語。
跟技術一點關系沒有。
純粹是阿裡系內部真的……有點爛。
不僅是上層沒有相關心思,就連技術層面也可能沒想過要通知國內主管單位,預防網絡安全風險。
因為這是個發現以後就會知道很低級但很嚴重的錯誤。
…………
晚8點多,溫良剛回到下榻酒店,那邊廂老苗頭的秘書應召來到了老苗家。
與秘書同來的還有一個工程師主管。
有親自參與了此次嚴重漏洞處理過程。
老苗頭面色緩和且儒雅,坐姿端莊大氣,是那種大佬應有的模樣,不似約莫半小時前那種散漫樣兒。
連此前有些散的頭髮也又變得一絲不苟了。
秘書跟著老苗頭也有幾年了,當然知道他的脾性,主動的直接匯報起來:“經過與友鄰單位的合作,緊急排查搶修,已完全所有重點單位主要服務器的漏洞修複,也形成了簡單的臨時規避解決方案。”
“據目前統計,其中國防科工等幾個重點單位的對外服務器均有證據表明有通過該漏洞的入侵,部分資料有被非法訪問痕跡,總次數超過千次……
其中部分單位近期連番遭遇海量網絡攻擊疑似與此漏洞有關。”
“某單位可能有機密等級的電子文件被非法訪問……”
一五一十的描述完畢後,秘書輕吸了一口氣:“根據和友鄰單位的初步共同研判,此次漏洞造成的潛在損失可能超過了棱鏡。”
“這個漏洞之簡單,攻擊之深度……實在是過於罕見,據可靠消息,Apache方面會將此漏洞列為CVSS通用漏洞評分系統最高級別的10分,超危險。”
秘書匯報完畢後,看向一旁同來的工程師主管:“其它方面還請林工來補充。”
林工當仁不讓,補充了重點:“經過系統性分析,此漏洞原理十分簡單,一經發現即可輕易判斷危險等級,常規情況下觸發概念不大,但觸發門檻十分低,總計只需要編寫三行代碼。”
“……此外,經友鄰單位的綜合信息匯總,基於星辰內核衍生而立的重點單位內部系統上因無法裝載該漏洞日志組件,且因不支持觸發漏洞的其中一個JNDI接口,從而完全無法被攻擊,也包括所有以星辰內核衍生的操作系統產品;
其中單位試點使用於非關鍵服務的星辰雲,也因此沒有這個漏洞。”
“已較為常態使用的阿裡雲產品,則全部發現了這個漏洞,阿裡雲的維護工程師至今仍沒有通報該漏洞,也沒有進行臨時規避解決……”
老苗頭都忍不住在心中腹誹:“艸。”
他是真無語了。
怎麽踏馬能有這種單位!
他可是那麽儒雅隨和的人啊!
都忍不住生艸了。
隨後,老苗頭做出了決定:“既然已經形成了臨時規避解決方案,也有了初步結論,即刻將風險通告給更廣泛范圍。”
“三小時後正式對外發公告。”
秘書依言記下,在斟酌中提出了自己的建議:“是否等到明天白天?”
老苗頭直接否決:“沒有必要再等了。”
之後,秘書先幫忙將林工送出了老苗家,然後又折返回去,他知道老苗頭還有指示。
老苗頭直接安排:“明天上午發起個會議,商議信息安全風險規范建設、以及商量如何組建常態化信息安全防范組織。”
“公告中要體現出對阿裡雲的處罰決定嗎?”秘書問了個特別的問題。
老苗頭搖頭:“等大家商量之後再決定。”
最後又說了句:“把星辰、星辰雲的表現結果告訴溫良。”
秘書再次點頭。
…………
稍晚些時候,溫良就收到了信息通知。
溫良又通知了李澤,讓他隨時準備出擊。
如此這般,因為一個漏洞,這個前半夜國內無數互聯網公司、信息科技公司的技術支撐部門全都忙成了一鍋粥。
盡管損失可能已經造成,但也正因為此,必須得抓緊每一分鍾趕緊把漏洞處理乾淨,別再造成新損失。
不能說一個人黑進來是黑,十個人黑進來也是黑這種叼話。
隨後,深夜11點多,工信下屬網安局發布了工作動態公告。
《關於阿帕奇Log4j2組件重大安全漏洞的網絡安全風險提示》
公告內容表示:
『阿帕奇(Apache)Log4j2組件是基於Java語言的開源日志框架,被廣泛用於業務系統開發。近日,阿裡雲計算有限公司發現阿帕奇Log4j2組件存在遠程代碼執行漏洞,並將漏洞情況告知阿帕奇軟件基金會……
10月25日,網安下屬職員日常巡查發現阿帕奇Log4j2組件存在嚴重安全漏洞,已開展漏洞風險分析與排查及修複……
該漏洞可能導致設備遠程受控,進而引發敏感信息竊取、設備服務中斷等嚴重危害,屬於高危漏洞……
為降低網絡安全風險,提醒有關單位和公眾密切關注阿帕奇Log4j2組件漏洞官方補丁發布,現將臨時解決方案下發。
網安將持續組織開展漏洞處置工作,防范網絡產品安全漏洞風險,維護公共互聯網網絡安全……』
深夜發布公告這一舉動,自然很快觸動了各類群體。
也很快被廣泛傳播。
引發了夜貓子吃瓜網友的各類談論。
很快,向來擅長於熬夜的程序猿們紛紛冒泡,通過各種渠道表達了對事件的關注。
網友們也聊得熱火朝天。
“這次工信反應好快啊,居然還完成了臨時解決方案,有點意外。”
“我文科生不懂這些東西,不過從公告中發現了個比較有意思的點,這漏洞是阿裡雲發現的,但隻通告了阿帕奇,沒有通告網安,還是網安自己發現的,有沒有懂行的說一說這個漏洞到底有多大影響?”
禿頭是我身為強者的尊嚴:“剛閱讀了臨時解決方案和漏洞情況,影響范圍怎麽說呢……只要是聯網機器,只要使用了這個組件,底褲都能被看光的程度,據我所知,這個Log4j2是去年阿帕奇重點推出的日志組件項目;
目的是為了應對加入阿帕奇又退出阿帕奇並開發了Log4j的作者新作Slf4j……總之,因為阿帕奇組織下的Apache是全世界排名第一的web服務器,所以嘛……Log4j2現在的使用范圍你懂的。”
熬夜是我的保護色:“只能說嚇出一身冷汗,我反正是感覺有點完犢子了。”
每獻祭一根頭髮即可技術+1:“我發現了個有意思的事情,博浪可能是此次漏洞中的最佳躺贏選手,出於好奇,我剛才自建環境複現漏洞,因為我還比較喜歡新鮮事物,所以我有一台星海工作站……嘗試搭建環境時發現星辰桌面系統不支持這個日志組件,官方文檔中有自帶日志組件,也不支持JNDI接口;
有意思的是,我隨後打開‘星辰靈境’運行Windows,成功複現漏洞,並且執行了攻擊操作……
好在‘星辰靈境’是通俗的特別沙盒模式運行,可以通過攻擊隨意操作運行的Windows系統任意內容,包括讀取文件,但不會影響到主系統星辰桌面,換句話說,無論怎麽搞,星辰類系統不受這個超罕見超危險漏洞影響。”
我是每天睡不著所以晚上吃瓜的選手:“6666,還有這種操作,那豈不是說星辰系統是目前全球最安全系統?”
“我覺得吧,我終於找到了網上所有批評博浪重複造輪子的反擊方式!!!”
“……”
-
(本章完)