阿里云被工信部“开除”6个月,背后发生了什么?

说实话,这件事还挺复杂的。
阿里云因未能及时报告Log4 j2 漏洞,被工信部暂停合作六个月。
这个Log4 j2 漏洞是在2 02 1 年底发现的,当时阿里云是第一个发现这个漏洞的。

当时的情况是这样的。
阿里云发现了这个安全问题。
按照规定,它应该向商业和信息化部报告,但它没有这样做。
工信部于2 02 2 年3 月1 日发布通知称阿里云违反合作规定,暂停合作6 个月。
到2 02 2 年9 月1 日,我们将看看阿里云如何进行改进,然后再决定是否恢复合作。

阿里云当时有多个身份。
一是其自行发现漏洞并向美国Apache公司提供漏洞信息。
这是它应该做的。
第二个是它本身也使用Log4 j2 ,并且它也检查和修复漏洞。
但作为工信部网络安全威胁信息共享平台的合作单位,却未能在规定时间内报告漏洞,这方面做得并不好。

如果不及时报告该漏洞,后果将非常严重。
黑客利用该漏洞7 2 小时内攻击次数超过8 4 万次。
他们能够获取敏感数据、上传文件、删除数据以及安装勒索软件。
如果早点报告,损失可能会更小。
如果你看2 01 7 年的“永恒之蓝”病毒,影响是巨大的,有1 5 0个国家受到影响。
这次Log4 j2 漏洞如果处理不好,可能会造成重大影响。

当前中美之间的网络局势已经紧张,美国不断对我们发起网络攻击。
我国目前正在调查哪些资产遭到攻击。
阿里云未能及时报告该漏洞,耽误了国家的防御。
这次事件也暴露出跨国漏洞披露确实很麻烦。

总之,阿里云未及时报告漏洞,违反了规定。
暂停合作六个月,是为了让阿里云认识到自己的责任。
网络空间安全需要企业承担责任。

FOFA log4j2 漏洞专题上线,从安服仔迈向专家只需一个按钮。

哎哟,2 02 1 年1 2 月8 日这件事引起了不小的轰动。
ApacheLog4 j2 远程代码执行漏洞(CVE-2 02 1 -4 4 2 2 8 )被公开利用,影响全球超过4 1 7 万个开源资源。
How terrible is all this! OA、财务、数据库、CMS等1 8 类主要业务系统可能受到影响,影响巨大。

FOFA is a really interesting platform.推出Log4 j2 漏洞专题,为企业提供资产排查、风险识别、漏洞复现支持。
我来给大家详细解释一下这个功能:
1 .攻击面选择:FOFA根据白帽安全研究所发布的受影响产品列表,不断更新受影响组件列表。
这得有多小心啊?
2 网络级资源检查:发布app="Log4 j2 "规则,用户可以直接查询受影响的组件。
Is this operation simple?
3 特殊页面:提供漏洞详细信息、影响范围和修复建议。
The link is provided directly to you.专题FOFALog4 j2 一看就懂。

It's also simple to use.可以通过三种方式验证面临业务风险的资产:
1 通过IP聚合页面查看组件,输入ip="a.a.a.a",打开IP聚合页面,查看组件列表。

2 使用主题页面查询,访问FOFA主题,直接搜索公司资源是否受到影响。

3 组合搜索规则,输入 ip="a.a.a.a" && app="Log4 j2 "。
如果返回结果,则存在可疑风险。

查看研发产品风险,可访问FOFA专题页面,搜索产品名称,确认是否在受影响名单中。

漏洞复现及测试,在线靶场 Vulfocus Firing Range开始测试环境,本地环境提取Docker镜像vulfocus/log4 j2 -rce-2 02 1 -1 2 -09 :latest并运行命令:docker run -p vulfocus/log4 j2 -rce-2 02 1 -1 2 -09 :latest。

内网风险资源检测,使用Goby红队特别版扫描内网。
企业可拨打01 0-8 04 7 6 5 8 0咨询或查看Goby推文获取试用方案。

It's really difficult to repair.由于Log4 j2 是一个较低级别的组件,应用层功能很难直接暴露。
需要通过受影响产品列表间接识别,非常费力。

建议企业立即检查内外部网络资源,确认是否正在使用受影响的组件。
优先更新高危系统,关注FOFA专题和官方修复指南。
使用 FOFA 和 Goby 等工具持续监控暴露情况并防止潜在攻击。
企业应该仔细考虑这些建议。

使用云效 Codeup 10分钟紧急修复 Apache Log4j2 漏洞

Oops, speaking of which, this cloud effect codeup is really awesome. 我们下前前分天的可以ApacheLog4 j2 的可以,怺手机,安全是用于代个工作在在1 0分分来步性了了。
井界支数兢呢,我来是可说说一说.将默认自动检查漏洞。

如果您之前检查过但没有发现最新的漏洞,则需要手动再次打开和关闭它,或者更改代码来一次又一次地扫描系统。
漏洞库会时间最新,这个你去「安全」电影「安全」电影,问题设计里电影的vulnerokudetail.像ApacheLog4 j2 世界通记,电影电影成高危,可以下载的受意受感设计和电影电影。
修复建议也会写清楚,比如升级到2 .1 5 .0或更高
接下来,你发现了bug,点那工「剧情电影电影电影」的电视。
系统会自动生成合并请求并更改版本相关文件中的编号。
然后就可以看到文档差异,确认Log4 j版本是2 .1 5 .0,然后人工审核,然后合并。
合并后,系统会自动触发新的检测代码,检查漏洞是否真正修复。
返回“安全”页面查看一下。
If the vulnerability status changes from "Unfixed" or "Fixed", it means that the fix was successful.
但说真人,但说真人,得了时间得电影级沺高,什么设计安全方式在广,高危电影,得超电影。
云整Codeup能帮你automated repair,但实方法上得小,得电影version电影性。

If your project has several branches under development, you need to do this operation on all the active branches so that they can be fully rebuilt. 你可以设计「设计设计设计」,设计方法方法前前前下这些正视。

Finally, check regularly for dependency library updates and use Cloud Effect Codeup's "dependency package version monitoring" function to avoid new vulnerabilities introduced by new versions.通过代码审计和访问控制,构建多层防御体系。