Il regolatore internet della Cina, il Ministero dell’Industria e dell’Information Technology (MIIT), ha temporaneamente sospeso una partnership con Alibaba Cloud, la filiale di cloud computing del gigante dell’e-commerce Alibaba Group, per sei mesi a causa del fatto che non è riuscito a informare tempestivamente il governo su una vulnerabilità di sicurezza critica che colpisce la libreria di Log4j ampiamente utilizzata.
La fonte di questa notizia è un rapporto del 21st Century Business Herald, un quotidiano cinese di business-news.
“Alibaba Cloud non ha immediatamente segnalato le vulnerabilità nel popolare framework di log open-source Apache Log4j2 al regolatore delle telecomunicazioni della Cina“, riferisce Reuters. “In risposta, il MIIT ha sospeso una partnership di cooperazione con l’unità cloud per quanto riguarda le minacce di cybersecurity e le piattaforme di condivisione delle informazioni”.
Backup automatico di GitHub
Tracciata come CVE-2021-44228 (punteggio CVSS: 10.0) e chiamata in codice Log4Shell o LogJam, la catastrofica falla nella sicurezza permette ad attori malintenzionati di eseguire da remoto codice arbitrario ottenendo una stringa appositamente creata e registrata dal software.
Log4Shell è venuto alla luce dopo che Chen Zhaojun del team di sicurezza di Alibaba ha inviato una e-mail avvisando la Apache Software Foundation (ASF) il 24 novembre circa la falla, aggiungendo che “ha un grande impatto”. Ma proprio mentre la correzione veniva messa in atto, i dettagli della vulnerabilità sono stati condivisi su una piattaforma di blogging cinese da un attore non identificato l’8 dicembre, inviando il team Apache a rilasciare una patch il 10 dicembre.
Dopo la divulgazione pubblica del bug, Log4Shell è stato soggetto a un diffuso sfruttamento da parte di attori minacciosi per prendere il controllo dei server suscettibili, grazie all’uso quasi onnipresente della libreria, che può essere trovata in una varietà di servizi consumer e aziendali, siti web e applicazioni – così come nei prodotti tecnologici operativi – che si basano su di essa per registrare informazioni sulla sicurezza e sulle prestazioni.
Nei giorni successivi, ulteriori indagini su Log4j da parte della comunità di cybersicurezza hanno scoperto altre tre debolezze nello strumento basato su Java, spingendo i manutentori del progetto a distribuire una serie di aggiornamenti di sicurezza per contenere attacchi reali che sfruttano le falle.
Il Governo colpisce, detta nuove linee, e Alibaba si scusa
Il pushback del MIIT arriva mesi dopo che il governo cinese ha emesso nuovi regolamenti di divulgazione delle vulnerabilità più severi che incaricano i fornitori di software e di rete colpiti da falle critiche, compresi i ricercatori, di segnalare in prima persona alle autorità governative entro e non oltre due giorni.
Nel mese di settembre, il Governo ha lanciato una direttiva “sulla sicurezza del cyberspazio e i database professionali delle vulnerabilità” per la segnalazione delle vulnerabilità di sicurezza nelle reti, app mobili, sistemi di controllo industriale, auto intelligenti, dispositivi IoT, e altri prodotti internet che potrebbero essere presi di mira da attori minacciosi.
Dopo che il regolatore della sicurezza internet cinese ha abbandonato Alibaba Cloud dalla sua partnership di cyber threat intelligence per sei mesi, la società di cloud computing ha detto che avrebbe lavorato per migliorare la sua gestione del rischio, sostenendo di non aver compreso appieno la gravità della falla ed è per questo che non ha condiviso i dettagli con il governo in modo tempestivo.
