به تعلیق درآوردن همکاری با علی‌بابا توسط دولت چین به دلیل عدم اشتراک‌گذاری آسیب‌پذیری Log4j با دولت توسط این شرکت

رگلاتور اینترنت چین، وزارت صنعت و فناوری اطلاعات (MIIT)، به‌دلیل عدم اطلاع‌رسانی فوری، به‌طور موقت همکاری با علی‌بابا کلود، شرکت زیرمجموعه رایانش ابری گروه بزرگ تجارت الکترونیک علی‌بابا را به مدت شش ماه به حالت تعلیق درآورده است، به دلیل این واقعیت که نتوانست به‌سرعت در مورد یک آسیب‌پذیری امنیتی حیاتی که در کتابخانه‌ی Log4j که به‌طور گسترده استفاده می‌شود، به دولت چین اطلاع‌رسانی کند.

این موضوع توسط رویترز و South China Morning Post با استناد به گزارشی از Business Herald در یک روزنامه خبری تجاری چینی فاش شد[۱-۳].

رویترز دراین‌باره می‌گوید: “علی‌بابا کلود فوراً آسیب‌پذیری‌های logging framework محبوب و منبع باز Apache Log4j2 را به تنظیم‌کننده ارتباطات راه دور چین گزارش نکرد. در پاسخ، MIIT همکاری مشترک با این واحد ابری در مورد تهدیدات امنیت سایبری و پلتفرم‌های اشتراک‌گذاری اطلاعات را به حالت تعلیق درآورد.”

این نقص امنیتی فاجعه‌بار[۴] که به‌عنوان CVE-2021-44228 (با امتیاز ۱۰ در مقیاس CVSS) و با کد Log4Shell یا LogJam ردیابی می‌شود[۵]، به عوامل مخرب اجازه می‌دهد تا از راه دور کد دلخواه را با دریافت رشته‌ای ساخته‌شده مخصوص که توسط نرم‌افزار ثبت می‌شود، اجرا کنند.

Log4Shell پس‌ازاینکه Chen Zhaojun از تیم امنیتی ابری علی‌بابا ایمیلی ارسال کرد[۶] و در ۲۴ نوامبر ۲۰۲۱ به بنیاد نرم‌افزار آپاچی (ASF) در مورد این نقص هشدار داد و اضافه کرد که «تأثیر بزرگی دارد»؛ آشکار شد. اما درست زمانی که این اصلاح در حال انجام بود، جزئیات این آسیب‌پذیری در یک پلتفرم وبلاگ‌نویسی چینی توسط یک بازیگر ناشناس در ۸ دسامبر ۲۰۲۱ به اشتراک گذاشته شد و باعث شد تیم آپاچی در تلاش برای انتشار یک وصله در ۱۰ دسامبر ۲۰۲۱ باشد.

پس از افشای عمومی این اشکال، Log4Shell به دلیل استفاده‌ی تقریباً همه‌جانبه از این کتابخانه، که در انواع خدمات مصرف‌کننده و سازمانی، وب‌سایت‌ها، برنامه‌ها و محصولات فناوری عملیاتی که برای ثبت اطلاعات امنیتی و عملکرد به آن متکی هستند یافت می‌شود، مورد بهره‌برداری گسترده عوامل تهدید قرار گرفته است تا کنترل سرورهای حساس را در دست بگیرند[۷-۹].

در روزهای بعد، تحقیقات بیشتر در مورد Log4j توسط جامعه امنیت سایبری، سه ‌نقطه‌ضعف دیگر[۱۰] را در این ابزار مبتنی بر جاوا نشان داد، که سازندگان این پروژه را بر آن داشت تا مجموعه‌ای از به‌روزرسانی‌های امنیتی را برای مهار حملات دنیای واقعی که از این نقص‌ها بهره‌برداری می‌کنند، منتشر کند.

شرکت امنیتی چک پوینت خاطرنشان کرد[۱۱] که تاکنون بیش از ۴٫۳ میلیون تلاش برای بهره‌برداری را مسدود کرده است که ۴۶ درصد از این نفوذها توسط گروه‌های مخرب شناخته شده انجام شده است. MIIT پیش‌ازاین در بیانیه‌ای عمومی منتشرشده در ۱۷ دسامبر ۲۰۲۱ گفته بود: “این آسیب‌پذیری ممکن است باعث شود یک دستگاه از راه دور کنترل شود، که خطرات جدی مانند سرقت اطلاعات حساس و وقفه در خدمات دستگاه را به همراه خواهد داشت. این شرکت همچنین افزود: تنها در ۹ دسامبر ۲۰۲۱، ۱۵ روز پس از افشای اولیه، از این نقص آگاه شده است.

عقب‌نشینی MIIT ماه‌ها پس از صدور قوانین سخت‌گیرانه‌تر جدید برای افشای آسیب‌پذیری توسط دولت چین صورت می‌گیرد[۱۲] که فروشندگان نرم‌افزار و شبکه‌ای را که دچار نقص‌های مهم هستند، در کنار نهادها یا افراد درگیر در کشف آسیب‌پذیری‌های امنیتی محصول شبکه، موظف می‌کند تا آن‌ها را به‌طور اجباری به مقامات دولتی ظرف دو روز گزارش دهند.

در ماه سپتامبر ۲۰۲۱، دولت چین همچنین با راه‌اندازی «پایگاه‌های اطلاعاتی حرفه‌ای امنیت و آسیب‌پذیری فضای سایبری» برای گزارش آسیب‌پذیری‌های امنیتی در شبکه‌ها، اپلیکیشن‌های تلفن همراه، سیستم‌های کنترل صنعتی، خودروهای هوشمند، دستگاه‌های اینترنت اشیا و سایر محصولات اینترنتی که می‌تواند توسط بازیگران تهدید مورد هدف قرار گیرند، آن را پیگیری کرد[۱۳].

به‌روزرسانی: بر اساس گزارش جدیدی[۱۴] از South China Morning Post، پس‌ازاینکه تنظیم‌کننده امنیت اینترنت چین، Alibaba Cloud را به مدت شش ماه از شراکت اطلاعاتی تهدیدات سایبری خود کنار گذاشت، این شرکت رایانش ابری روز پنجشنبه ۲۳ دسامبر ۲۰۲۱ اعلام کرد که برای بهبود مدیریت ریسک و انطباق با آن کار خواهد کرد. علی‌بابا کلود همچنین گفت که به‌طور کامل شدت این نقص را درک نکرده و به همین علت جزئیات را به‌موقع با دولت چین در میان نگذاشته است.

منابع

[۱] https://www.reuters.com/world/china/china-regulator-suspends-cyber-security-deal-with-alibaba-cloud-2021-12-22

[۲] https://www.scmp.com/tech/big-tech/article/3160670/apache-log4j-bug-chinas-industry-ministry-pulls-support-alibaba-cloud

[۳] https://m.21jingji.com/timestream/html/%7BU9Pjf0FaKEU=%7D

[۴] https://apa.aut.ac.ir/?p=8517

[۵] https://www.cisa.gov/uscert/apache-log4j-vulnerability-guidance

[۶] https://www.bloomberg.com/news/articles/2021-12-13/how-apache-raced-to-fix-a-potentially-disastrous-software-flaw

[۷] https://apa.aut.ac.ir/?p=8552

[۸] https://apa.aut.ac.ir/?p=8546

[۹] https://apa.aut.ac.ir/?p=8559

[۱۰] https://apa.aut.ac.ir/?p=8568

[۱۱] https://blog.checkpoint.com/2021/12/11/protecting-against-cve-2021-44228-apache-log4j2-versions-2-14-1

[۱۲] https://thehackernews.com/2021/07/chinas-new-law-requires-researchers-to.html

[۱۳] https://www.scmp.com/tech/big-tech/article/3147206/beijing-launches-websites-reporting-cybersecurity-vulnerabilities

[۱۴] https://www.scmp.com/tech/big-tech/article/3160854/apache-log4j-bug-alibaba-cloud-vows-boost-compliance-after-chinese

[۱۵] https://thehackernews.com/2021/12/china-suspends-deal-with-alibaba-for.html