Cơ quan quản lý internet của Trung Quốc, Bộ Công nghiệp và Công nghệ thông tin (MIIT), đã tạm thời đình chỉ quan hệ đối tác với Alibaba Cloud, công ty con điện toán đám mây của tập đoàn thương mại điện tử khổng lồ Alibaba, trong sáu tháng do không thông báo kịp thời. chính phủ về một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến thư viện ghi nhật ký Log4j được sử dụng rộng rãi.
Sự phát triển đã được tiết lộ bởi Reuters và South China Morning Post, trích dẫn một báo cáo từ 21st Century Business Herald, một tờ báo kinh doanh hàng ngày của Trung Quốc.
“Alibaba Cloud đã không báo cáo ngay các lỗ hổng trong khung ghi nhật ký mã nguồn mở phổ biến Apache Log4j2 cho cơ quan quản lý viễn thông của Trung Quốc,” Reuters cho biết. “Đáp lại, MIIT đã đình chỉ quan hệ đối tác hợp tác với đơn vị đám mây liên quan đến các mối đe dọa an ninh mạng và nền tảng chia sẻ thông tin.”
Được theo dõi là CVE-2021-44228 (điểm CVSS: 10,0) và có tên mã là Log4Shell hoặc LogJam, lỗ hổng bảo mật nghiêm trọng này cho phép những kẻ độc hại thực thi mã tùy ý từ xa bằng cách lấy một chuỗi được chế tạo đặc biệt mà phần mềm ghi lại.
Log4Shell được đưa ra ánh sáng sau khi Chen Zhaojun của nhóm bảo mật đám mây Alibaba gửi email cảnh báo cho Tổ chức Phần mềm Apache (ASF) vào ngày 24 tháng 11 về lỗ hổng, đồng thời nói thêm rằng nó “có tác động lớn”. Nhưng ngay khi bản sửa lỗi được đưa ra, chi tiết về lỗ hổng bảo mật đã được một diễn viên không xác định chia sẻ trên một nền tảng blog của Trung Quốc vào ngày 8 tháng 12, khiến nhóm Apache tranh giành để phát hành bản vá vào ngày 10 tháng 12.
Đăng tiết lộ công khai về lỗi, Log4Shell đã bị các tác nhân đe dọa khai thác rộng rãi để chiếm quyền kiểm soát các máy chủ nhạy cảm, nhờ vào việc sử dụng thư viện gần như phổ biến, có thể tìm thấy trong nhiều dịch vụ, trang web và dịch vụ dành cho người tiêu dùng và doanh nghiệp. các ứng dụng — cũng như trong các sản phẩm công nghệ vận hành — dựa vào đó để ghi nhật ký thông tin hiệu suất và bảo mật.
Trong những ngày tiếp theo, cuộc điều tra sâu hơn về Log4j của cộng đồng an ninh mạng đã phát hiện ra thêm ba điểm yếu trong công cụ dựa trên Java, khiến những người duy trì dự án gửi một loạt các bản cập nhật bảo mật để ngăn chặn các cuộc tấn công trong thế giới thực khai thác các lỗ hổng.
Trở thành Chuyên gia ứng phó sự cố!
Mở khóa các bí mật để ứng phó với sự cố chống đạn – Nắm vững quy trình 6 Giai đoạn với Asaf Perlman, Trưởng nhóm IR của Cynet!
Đừng bỏ lỡ – Tiết kiệm chỗ ngồi của bạn!
Công ty bảo mật Check Point của Israel lưu ý rằng cho đến nay họ đã chặn hơn 4,3 triệu nỗ lực khai thác, với 46% trong số đó được thực hiện bởi các nhóm độc hại đã biết. “Lỗ hổng này có thể khiến thiết bị bị điều khiển từ xa, điều này sẽ gây ra các mối nguy hiểm nghiêm trọng như đánh cắp thông tin nhạy cảm và gián đoạn dịch vụ thiết bị”, MIIT trước đó cho biết trong một tuyên bố công khai được công bố vào ngày 17 tháng 12, đồng thời cho biết thêm rằng họ mới chỉ biết về lỗ hổng vào ngày 9 tháng 12, 15 ngày sau lần tiết lộ đầu tiên.
Sự phản hồi từ MIIT đến vài tháng sau khi chính phủ Trung Quốc ban hành các quy định tiết lộ lỗ hổng bảo mật mới nghiêm ngặt hơn, bắt buộc các nhà cung cấp phần mềm và mạng bị ảnh hưởng bởi các lỗ hổng nghiêm trọng, cùng với các tổ chức hoặc cá nhân tham gia phát hiện lỗ hổng bảo mật sản phẩm mạng, phải báo cáo trực tiếp cho các cơ quan chính phủ một cách bắt buộc trong vòng hai ngày.
Vào tháng 9, chính phủ cũng tiếp tục bằng cách tung ra “cơ sở dữ liệu chuyên nghiệp về lỗ hổng bảo mật và an ninh không gian mạng” để báo cáo các lỗ hổng bảo mật trong mạng, ứng dụng di động, hệ thống điều khiển công nghiệp, ô tô thông minh, thiết bị IoT và các sản phẩm internet khác có thể là mục tiêu của tác nhân đe dọa.
Cập nhật: Sau khi cơ quan quản lý an ninh mạng của Trung Quốc loại bỏ Alibaba Cloud khỏi quan hệ đối tác tình báo mối đe dọa mạng trong sáu tháng, công ty điện toán đám mây hôm thứ Năm cho biết họ sẽ nỗ lực cải thiện việc quản lý rủi ro và tuân thủ, theo một báo cáo mới từ South China Morning Post. Alibaba Cloud cũng cho biết họ không hiểu hết mức độ nghiêm trọng của lỗ hổng và không chia sẻ thông tin chi tiết với chính phủ một cách kịp thời.
