El regulador de Internet de China, el Ministerio de Industria y Tecnología de la Información (MIIT), suspendió temporalmente una asociación de seis meses con Alibaba Cloud, un gigante del comercio electrónico en el gigante del comercio electrónico Alibaba Group, debido al hecho de que no informó con rapidez. gobierno sobre las vulnerabilidades de seguridad críticas que afectan a la biblioteca de registros Log4j ampliamente utilizada.
El desarrollo fue publicado por Reuters y el South China Morning Post con referencia al informe del diario empresarial chino 21st Century Business Herald.
«Alibaba Cloud no informó de inmediato sobre la vulnerabilidad del popular marco de registro de código abierto Apache Log4j2 al regulador chino de telecomunicaciones», informó Reuters. «En respuesta, MIIT ha suspendido la cooperación con la unidad de nube sobre amenazas a la seguridad cibernética y plataformas de intercambio de información».
Una falla de seguridad catastrófica, rastreada como CVE-2021-44228 (puntaje CVSS: 10.0) con nombre en código Log4Shell o LogJam, permite a atacantes maliciosos ejecutar de forma remota código arbitrario recuperando una cadena especialmente diseñada registrada por software.
Log4Shell salió a la luz después de que Chen Zhaojun del equipo de seguridad en la nube de Alibaba envió un correo electrónico a la Apache Software Foundation (ASF) el 24 de noviembre, agregando que «tiene un gran impacto». Pero justo cuando se implementó la solución, un actor desconocido compartió los detalles de la vulnerabilidad en una plataforma de blog china el 8 de diciembre, que envió al equipo de Apache a publicar la solución el 10 de diciembre.
Tras la publicación del error, Log4Shell ha sido ampliamente explotado por los actores de amenazas para tomar el control de servidores sensibles, gracias al uso casi omnipresente de la biblioteca, que se puede encontrar en varios servicios comerciales y para consumidores, sitios web y aplicaciones, así como en productos de tecnología de producción: se basan en el registro de información de seguridad y rendimiento.
En los días siguientes, otra investigación de Log4j por parte de la comunidad de ciberseguridad reveló tres debilidades adicionales en la herramienta basada en Java, lo que llevó a los administradores del proyecto a proporcionar una serie de actualizaciones de seguridad que incluyen ataques del mundo real que explotan estas vulnerabilidades.
La firma de seguridad israelí Check Point señaló que hasta ahora ha bloqueado más de 4,3 millones de intentos de abuso, y que el 46% de estas intrusiones las llevan a cabo grupos maliciosos conocidos. «Esta vulnerabilidad podría hacer que el dispositivo sea controlado de forma remota, provocando serios peligros como el robo de información sensible y la interrupción del servicio del dispositivo», dijo MIIT anteriormente en una declaración pública publicada el 17 de diciembre, 15 días después de la primera divulgación.
El rechazo de MIIT se produce meses después de que el gobierno chino emitiera nuevas regulaciones de divulgación de vulnerabilidades más estrictas que requieren que los proveedores de software y redes afectados por errores críticos, junto con entidades o personas involucradas en la detección de vulnerabilidades de productos de red, los informen de primera mano a las autoridades gubernamentales. en dos días.
En septiembre, el gobierno también siguió con el lanzamiento de «bases de datos profesionales para seguridad y vulnerabilidad en el ciberespacio» para informar vulnerabilidades de seguridad en redes, aplicaciones móviles, sistemas de control industrial, teléfonos inteligentes, dispositivos IoT y otros productos de Internet a los que podrían apuntar. actores de la amenaza.
Actualizaciones: Después de que el regulador de seguridad de Internet de China descartó a Alibaba Cloud de su asociación de amenazas cibernéticas durante seis meses, la computación en la nube dijo el jueves que trabajaría para mejorar la gestión de riesgos y el cumplimiento, según un nuevo informe del South China Morning Post. Alibaba Cloud también dijo que no entendía completamente la gravedad del error y no proporcionó detalles al gobierno a tiempo.
