Čína pozastavila dohodu s Alibabou, pretože nezdieľala Log4j 0- prvý deň s vládou

Čínsky internetový regulátor, ministerstvo priemyslu a informačných technológií (MIIT), dočasne pozastavil partnerstvo s Alibaba Cloud, dcérskou spoločnosťou cloud computingu giganta v oblasti elektronického obchodu Alibaba Group, na šesť mesiacov z dôvodu, že nedokázalo okamžite informovať. vláde o kritickej bezpečnostnej zraniteľnosti ovplyvňujúcej široko používanú protokolovaciu knižnicu Log4j.

Vývoj zverejnili agentúry Reuters a South China Morning Post s odvolaním sa na správu 21st Century Business Herald, čínskeho obchodného spravodajského denníka.

„Alibaba Cloud okamžite neohlásila zraniteľnosti v populárnom protokolovom rámci s otvoreným zdrojom Apache Log4j2 čínskemu telekomunikačnému regulátorovi,“ uviedla agentúra Reuters. “V reakcii na to MIIT prerušilo kooperatívne partnerstvo s cloudovou jednotkou v súvislosti s hrozbami kybernetickej bezpečnosti a platformami na zdieľanie informácií.”

Sledované ako CVE-2021-44228 (skóre CVSS: 10.0) a kódové označenie Log4Shell alebo LogJam, katastrofálny bezpečnostný nedostatok umožňuje škodlivým hráčom na diaľku spustiť ľubovoľný kód získaním špeciálne vytvoreného reťazca zaznamenaného softvérom.

Log4Shell vyšiel najavo po tom, čo Chen Zhaojun z tímu cloudovej bezpečnosti Alibaba poslal 24. novembra e-mail s upozornením Apache Software Foundation (ASF) na chybu a dodal, že „má veľký vplyv“. Ale práve keď sa oprava zavádzala, podrobnosti o zraniteľnosti zdieľal na čínskej blogovacej platforme neznámy herec v decembri. 8, čím sa tím Apache snaží vydať opravu 10. decembra.

Po zverejnení chyby bol Log4Shell vystavený rozsiahlemu zneužívaniu zo strany aktérov hroziacich, aby prevzali kontrolu nad citlivými servermi, a to vďaka takmer všadeprítomnému využívaniu knižnice, ktorú možno nájsť v rôznych spotrebiteľských a podnikových službách, webových lokalitách a aplikáciách – ako aj v produktoch prevádzkových technológií – ktoré sa od nich spoliehajú na zaznamenávanie informácií o bezpečnosti a výkone.

V nasledujúcich dňoch ďalšie vyšetrovanie Log4j komunitou kybernetickej bezpečnosti odvtedy odhalilo tri ďalšie slabé miesta v nástroji založenom na jazyku Java, čo prinútilo správcov projektu dodať sériu bezpečnostných aktualizácií, ktoré budú obsahovať skutočné útoky využívajúce nedostatky.

Izraelská bezpečnostná firma Check Point poznamenala, že sa zablokovala 4.3 doteraz milión pokusov o zneužitie, pričom 46 % z týchto prienikov urobili známe škodlivé skupiny. “Táto zraniteľnosť môže spôsobiť, že zariadenie bude ovládané na diaľku, čo spôsobí vážne nebezpečenstvo, ako je krádež citlivých informácií a prerušenie služby zariadenia,” uviedol MIIT vo verejnom vyhlásení zverejnenom 17. decembra a dodal, že bol informovaný chyba v decembri 915 dní po prvom zverejnení.

Odpor od MIIT prichádza niekoľko mesiacov po tom, čo čínska vláda vydala nové prísnejšie nariadenia o zverejňovaní zraniteľností, ktoré nariaďujú dodávateľom softvéru a sietí postihnutých kritickými chybami, spolu so subjektmi alebo jednotlivcami zapojenými do zisťovania zraniteľnosti sieťových produktov, aby ich povinne hlásili z prvej ruky vládnym orgánom. do dvoch dní.

V septembri na to vláda nadviazala aj spustením „profesionálnych databáz kybernetickej bezpečnosti a zraniteľnosti“ na hlásenie bezpečnostných zraniteľností v sieťach, mobilných aplikáciách, priemyselných riadiacich systémoch, inteligentných autách, zariadeniach internetu vecí a iných internetových produktoch, na ktoré by sa mohli zamerať. aktérov hrozieb.

Aktualizácia: Po tom, čo čínsky regulátor pre internetovú bezpečnosť vylúčil Alibaba Cloud zo svojho partnerstva v oblasti spravodajstva o kybernetických hrozbách na šesť mesiacov, spoločnosť cloud computing vo štvrtok uviedla, že bude pracovať na zlepšení riadenia rizík a dodržiavania predpisov, podľa novej správy South China Morning Post. Alibaba Cloud tiež uviedla, že plne nepochopila závažnosť chyby a že podrobnosti nezverejnila s vládou včas.