Le vulnerabilità presenti nella libreria Log4j (pochi giorni fa è stata rilasciata una terza patch) hanno creato e continuano a creare diversi problemi a molte aziende. Il governo cinese ha sospeso la collaborazione con Alibaba Cloud perché il problema di sicurezza non è stato prontamente segnalato alle autorità competenti, come previsto da una legge locale.
La Cina punisce Alibaba
La prima vulnerabilità (CVE-2021-44228) era stata scoperta a fine novembre da Chen Zhaojun, membro del team di sicurezza di Alibaba Cloud. Chen ha segnalato il bug alla Apache Software Foundation che ha successivamente rilasciato la versione aggiornata di Log4j.
Il comportamento di Chen è stato eticamente corretto, in quanto le vulnerabilità dovrebbero essere sempre segnalate allo sviluppatore del software, in modo che possa risolvere il problema prima che diventi di dominio pubblico. Una legge in vigore dal mese di settembre obbliga però le aziende cinesi a comunicare le vulnerabilità al MIIT (Ministry of Industry and Information Technology) attraverso il National Vulnerability Database.
Dato che il Ministero ha ricevuto la segnalazione da terze parti (il 9 dicembre), il governo cinese ha sospeso la collaborazione con Alibaba Cloud per sei mesi. La piattaforma di cybersicurezza nazionale sfrutta il servizio cloud di Alibaba, quindi la “punizione” sembra adeguata.
La Cina non è molto accondiscendente con le big tech locali. La stessa Alibaba ha ricevuto ad aprile una sanzione di 2,8 miliardi di dollari dall’antitrust. Curiosamente, molti attacchi che sfruttano le vulnerabilità della libreria Log4j arrivano proprio dalla Cina.
Ti potrebbe interessare
23 dic 2021