Clicky

China suspende el acuerdo con Alibaba por no compartir con el gobierno el día 0 de Log4j

Log4j Alibaba

Alibaba Cloud tenía una asociación cooperativa con el gobierno de China

El regulador de Internet de China, el Ministerio de Industria y Tecnología de la Información (MIIT), suspendió temporalmente una asociación con Alibaba Cloud, la subsidiaria de computación en la nube del gigante del comercio electrónico Alibaba Group, durante seis meses debido al hecho de que no informó de inmediato al gobierno sobre una vulnerabilidad de seguridad crítica que afectaba a la biblioteca de registros Log4j, ampliamente utilizada.

El hecho fue revelado por Reuters y South China Morning Post, citando un informe de 21st Century Business Herald, un diario chino de noticias de negocios.

"Alibaba Cloud no informó de inmediato las vulnerabilidades en el popular frame de registro de código abierto Apache Log4j2 al regulador de telecomunicaciones de China", dijo Reuters. "En respuesta, MIIT suspendió una asociación cooperativa con la unidad de nube con respecto a las amenazas de ciberseguridad y las plataformas de intercambio de información".

Rastreada como CVE-2021-44228 (puntaje CVSS: 10.0) y con nombre en código Log4Shell o LogJam, la catastrófica deficiencia de seguridad permite a los actores malintencionados ejecutar de forma remota código arbitrario al obtener una cadena especialmente diseñada registrada por el software.

Log4Shell salió a la luz después de que Chen Zhaojun del equipo de seguridad en la nube de Alibaba envió el 24 de noviembre un correo electrónico alertando sobre la falla a la Apache Software Foundation (ASF), agregando que "tiene un gran impacto". Pero justo cuando se estaba implementando la solución, un actor no identificado compartió los detalles de la vulnerabilidad en una plataforma de blogs china el 8 de diciembre, lo que hizo que el equipo de Apache luchara por lanzar un parche el 10 de diciembre.

Después de la divulgación pública del error, Log4Shell ha sido objeto de una explotación generalizada por parte de los actores de amenazas para tomar el control de los servidores susceptibles, gracias al uso casi omnipresente de la biblioteca, que se puede encontrar en una variedad de servicios, sitios web y aplicaciones para consumidores y empresas, así como en productos de tecnología operativa, que dependen de ella para registrar información de seguridad y rendimiento.

En los días siguientes, una mayor investigación sobre Log4j por parte de la comunidad de ciberseguridad descubrió tres debilidades más en la herramienta basada en Java, lo que llevó a los encargados del mantenimiento del proyecto a enviar una serie de actualizaciones de seguridad para contener ataques del mundo real que explotan las fallas.

La firma de seguridad israelí Check Point señaló que ha bloqueado más de 4,3 millones de intentos de explotación hasta el momento, con el 46% de esas intrusiones realizadas por conocidos grupos maliciosos. "Esta vulnerabilidad puede hacer que el dispositivo se controle de forma remota, lo que provocará graves peligros, como el robo de información confidencial y la interrupción del servicio del dispositivo", había dicho el MIIT anteriormente en una declaración pública publicada el 17 de diciembre, y agregó que solo se informó de la falla el 9 de diciembre, 15 días después de la divulgación inicial.

La suspensión del MIIT llega meses después que el gobierno chino emitiera nuevas regulaciones de divulgación de vulnerabilidades más estrictas que exigen a los proveedores de software y redes afectados por fallas críticas, junto con entidades o personas involucradas en el descubrimiento de vulnerabilidades de seguridad de productos de red, para informarlas de primera mano a las autoridades gubernamentales de manera obligatoria en un plazo de dos días.

En septiembre, el gobierno también lo siguió con el lanzamiento de "bases de datos profesionales de seguridad y vulnerabilidad del ciberespacio" para informar sobre vulnerabilidades de seguridad en redes, aplicaciones móviles, sistemas de control industrial, automóviles inteligentes, dispositivos de IoT y otros productos de Internet que podrían ser atacados por actores de amenazas.

Actualización: después de que el regulador de seguridad de Internet de China suspendió a Alibaba Cloud de su asociación de inteligencia de amenazas cibernéticas durante seis meses, la compañía de computación en la nube dijo el jueves que trabajaría para mejorar su gestión de riesgos y cumplimiento, según un nuevo informe del South China Morning Post, Alibaba Cloud también dijo que no comprendía completamente la gravedad de la falla y que no compartió los detalles con el gobierno de manera oportuna.

Jesus_Caceres