El Ministerio de Industria y Tecnología de la Información de China (MIIT) dijo que suspenderá temporalmente una asociación de inteligencia de amenazas de ciberseguridad con Alibaba Cloud por no informar primero al gobierno de una vulnerabilidad crítica en el software Log4j de Apache, según un informe de un diario chino de noticias de negocios 21st Century Business Herald.
MIIT, que ha estado ejecutando una plataforma de intercambio de inteligencia de amenazas desde finales de 2019, está suspendiendo el acuerdo con Alibaba Cloud, la unidad de servicios de computación en la nube de Alibaba Group Holding, durante seis meses porque la compañía no informó de inmediato una vulnerabilidad crítica (Log4Shell) en la biblioteca de software Apache Log4j, que causó un gran revuelo en la comunidad de ciberseguridad a principios de diciembre.
Después de seis meses, el ministerio reevaluaría si reanudar la asociación con Alibaba, en función de las medidas que la compañía ha tomado para abordar el problema, según el medio de noticias South China Morning Post, propiedad de Alibaba.
Log4Shell(CVE-2021-44228)salió a la luz después de que el investigador del equipo de seguridad en la nube de Alibaba, Chen Zhaojun, alertara a la Apache Software Foundation (ASF) sobre la falla el 24 de noviembre.
Bajo una regulación aprobada este año, las empresas chinas están obligadas a reportar vulnerabilidades en su propio software al MIIT a través de su sitio web National Vulnerability Database, aunque South China Morning Post aclara que la Regulación de Gestión de Lagunas de Seguridad de Productos de Internet solo "alienta" a las empresas a reportar errores encontrados en el software de otros.
Desde la divulgación de Log4Shell, múltiples actores de amenazas se apresuraron a incorporar la falla en sus ataques. Además, entre los grupos de hackers que se han observado explotando la vulnerabilidad, los investigadores de seguridad han visto actores maliciosos que se cree que trabajan en nombre del gobierno chino.
