El regulador de Internet de China, el Ministerio de Industria y Tecnología de la Información (MIIT), suspendió temporalmente una asociación con Alibaba Cloud, la subsidiaria de computación en la nube del gigante del comercio electrónico Alibaba Group, durante seis meses debido a que no informó de inmediato. el gobierno sobre una vulnerabilidad de seguridad crítica que afecta a la biblioteca de registro Log4j, de uso generalizado.
El hecho fue revelado por Reuters y South China Morning Post , citando un informe de 21st Century Business Herald, un diario de noticias de negocios chino.
«Alibaba Cloud no informó de inmediato las vulnerabilidades en el popular marco de registro de código abierto Apache Log4j2 al regulador de telecomunicaciones de China», dijo Reuters. «En respuesta, MIIT suspendió una asociación cooperativa con la unidad de nube con respecto a las amenazas de ciberseguridad y las plataformas de intercambio de información».
Rastreado como CVE-2021-44228 (puntaje CVSS: 10.0) y con nombre en código Log4Shell o LogJam, la deficiencia de seguridad catastrófica permite a los actores malintencionados ejecutar de forma remota código arbitrario al obtener una cadena especialmente diseñada registrada por el software.
Después de la divulgación pública del error, Log4Shell ha sido objeto de una explotación generalizada por parte de los actores de amenazas para tomar el control de servidores susceptibles, gracias al uso casi omnipresente de la biblioteca, que se puede encontrar en una variedad de servicios para consumidores y empresas, sitios web y aplicaciones, así como en productos de tecnología operativa, que dependen de él para registrar información de seguridad y rendimiento.
Log4Shell salió a la luz después de que Chen Zhaojun del equipo de seguridad en la nube de Alibaba envió un correo electrónico alertando a la Apache Software Foundation (ASF) el 24 de noviembre sobre la falla, agregando que «tiene un gran impacto». Pero justo cuando se estaba implementando la solución, un actor no identificado compartió los detalles de la vulnerabilidad en una plataforma de blogs china el 8 de diciembre, lo que hizo que el equipo de Apache se esforzara por lanzar un parche.
En los días siguientes, una mayor investigación sobre Log4j por parte de la comunidad de ciberseguridad descubrió tres debilidades más en la herramienta basada en Java, lo que llevó a los encargados del mantenimiento del proyecto a enviar una serie de actualizaciones de seguridad para contener ataques del mundo real que explotan las fallas.
La firma de seguridad israelí Check Point señaló que ha bloqueado más de 4,3 millones de intentos de explotación hasta el momento, con el 46% de esas intrusiones realizadas por grupos maliciosos conocidos. «Esta vulnerabilidad puede hacer que el dispositivo sea controlado de forma remota, lo que provocará graves peligros como el robo de información sensible y la interrupción del servicio del dispositivo», había dicho anteriormente el MIIT en un comunicado público publicado el 17 de diciembre.
La medida también se produce meses después de que el gobierno chino emitiera nuevas regulaciones más estrictas de divulgación de vulnerabilidades que obligan a los proveedores de software y redes afectados con fallas críticas a revelarlas de primera mano a las autoridades gubernamentales de manera obligatoria.
En septiembre, el gobierno también lo siguió con el lanzamiento de «bases de datos profesionales de seguridad y vulnerabilidad del ciberespacio» para informar sobre vulnerabilidades de seguridad en redes, aplicaciones móviles, sistemas de control industrial, automóviles inteligentes, dispositivos de IoT y otros productos de Internet que podrían ser atacados por actores de amenazas.
