A finales de noviembre de 2021 un trabajador de Alibaba, Chen Zhaojun, detectó un fallo de software, denominado ‘Log4Shell’, en Apache Log4j, una herramienta de registro de código abierto usada por una gran cantidad de aplicaciones, páginas web y servicios.
Ante esta situación, el Ministerio de Industria y Tecnología de Información de Chima decidió suspender por seis meses una asociación de ciberseguridad con Alibaba Cloud, filial de Alibaba Group, por no haber informado de inmediato al gobierno sobre esta vulnerabilidad de seguridad crítica que afecta a la biblioteca Log4j.
De acuerdo al regulador chino de telecomunicaciones, se trata de “una vulnerabilidad de alto riesgo”, puesto que puede conducir al control remoto del equipo, lo que provocaría graves daños importantes, como el robo de información confidencial y la interrupción de los servicios de equipo.
El gobierno chino hace la suspensión a Alibaba debido a “una nueva normativa, más estricta, sobre divulgación de vulnerabilidades, que obliga a los proveedores de software y redes afectados por fallos críticos, así como a las entidades o personas que se dedican a descubrir vulnerabilidades de seguridad en productos de red, a informar de primera mano, y en un plazo de dos días, a las autoridades gubernamentales”, indicó Reuters.
Cabe destacar que Chen Zhaojun envió un correo electrónico alertando a Apache Software Foundation (ASF) sobre el fallo, añadiendo que “tiene un gran impacto”. Luego de la revelación pública del fallo, Log4Shell ha sido objeto de una explotación generalizada por parte de agentes de amenazas que buscan hacerse del control de servidores vulnerables.
