Che giấu lỗ hổng an ninh mạng, Alibaba nhận hình phạt từ chính phủ Trung Quốc

[therealrtz]

Cho dù Alibaba đã tìm cách bịt kín lỗ hổng này, nhưng cuối cùng vụ việc vẫn bị chính phủ Trung Quốc phát giác.



Bộ Công nghiệp và Công nghệ Thông tin Trung Quốc (MIIT), cơ quan quản lý internet cấp cao ở nước này, vừa tạm đình chỉ hợp tác với Alibaba Cloud, công ty cung cấp điện toán đám mây của Alibaba, trong vòng 6 tháng. Nguyên nhân là vì công ty này đã không thông báo kịp thời cho chính phủ về một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến thư viện nhật ký Log4j.

"Alibaba Cloud đã không báo cáo ngay lập tức các lỗ hổng trong nền tảng ghi nhật ký mã nguồn mở Apache Log4j2 cho cơ quan quản lý viễn thông Trung Quốc." Reuters cho biết. "Đáp lại, MIIT đã đình chỉ quan hệ hợp tác với đơn vị đám mây và các nền tảng chia sẻ thông tin liên quan đến các mối đe dọa an ninh."

Lỗ hổng được theo dõi là CVE-2021-44228 và có tên mã là Log4Shell hay LogJam. Lỗ hổng này cho phép kẻ tấn công thực thi từ xa các đoạn code tùy ý bằng cách chiếm được một chuỗi được tinh chỉnh đặc biệt do phần mềm ghi lại.

Log4Shell bị những kẻ tấn công lợi dụng để chiếm quyền kiểm soát các máy chủ nhạy cảm, nhờ việc rộng rãi thư viện này, vốn được dùng trong hàng loạt các dịch vụ, website và ứng dụng doanh nghiệp cũng như người tiêu dùng – cũng như các sản phẩm công nghệ đang vận hành – chúng đều dựa vào hoạt động ghi lại nhật ký về hiệu suất và bảo mật.

Log4Shell được phát hiện sau khi Chen Zhaojun thuộc nhóm bảo mật đám mây của Alibaba gửi email cảnh báo tới cho hiệp hội Apache Software Foundation vào ngày 24 tháng 11 về lỗ hổng này, với lời nhấn mạnh về "tác động nghiêm trọng" của nó. Cho dù Alibaba đã sửa lỗi này, các chi tiết về lỗ hổng này được một người giấu tên chia sẻ trên nền tảng blog nổi tiếng của Trung Quốc vào ngày 8 tháng 12, khiến nhóm Apache vội vã tung ra bản vá lỗi.

Trong những ngày tiếp theo, cộng đồng an ninh mạng còn phát hiện ra hêm 3 điểm yếu khác trong công cụ dựa trên nền Java, buộc những người bảo trì dự án phải phát hành một loạt bản cập nhật bảo mật để ngăn chặn các cuộc tấn công khai thác lỗ hổng này.

Hãng bảo mật Israel Check Point cho biết, cho đến nay họ đã chặn 4,3 triệu nỗ lực khai thác lỗ hổng, với 46% trong số đó đến từ những nhóm tấn công mã độc có tiếng. "Lỗ hổng này có thể làm thiết bị bị kiểm soát từ xa, sẽ gây ra mối nguy hại nghiêm trọng như đánh cắp thông tin nhạy cảm và gián đoạn dịch vụ thiết bị." MIIT cho biết trong tuyên bố của mình vào ngày 17 tháng 12 vừa qua.

Nhiều tháng trước đây, chính phủ Trung Quốc cũng ban hành các quy định mới khắt khe hơn về việc công bố lỗ hổng an ninh mạng. Trong đó yêu cầu các nhà cung cấp phần mềm và mạng lưới bị ảnh hưởng bởi lỗ hổng phần mềm phải tiết lộ chúng trực tiếp cho các cơ quan chính phủ.

Vào tháng Chín vừa qua, tiếp nối quy định mới này, chính phủ Trung Quốc cũng ra mắt "cơ sở dữ liệu chuyên nghiệp về lỗ hổng và an ninh mạng" để báo cáo về các lỗ hổng an ninh mạng trong mạng lưới, ứng dụng di động, hệ thống điều khiển công nghiệp, ô tô thông minh, thiết bị IoT và các sản phẩm internet khác có thể là mục tiêu của các cuộc tấn công mạng.

VietBF @ Sưu tầm