Red de Respuestas Legales - Leyes y reglamentos - ¿Qué pasará si Alibaba Cloud no informa oportunamente las principales vulnerabilidades de seguridad de la red?

¿Qué pasará si Alibaba Cloud no informa oportunamente las principales vulnerabilidades de seguridad de la red?

Text/Observer Network Ludong

Comenzó hace un mes. En ese momento, un miembro del equipo de Alibaba Cloud descubrió una grave vulnerabilidad de seguridad en el componente Apache Log4j2 e inmediatamente notificó a la Apache Software Foundation en los Estados Unidos, pero no notificó al Ministerio de Industria y Tecnología de la Información de China como era requerido. Medio mes después del incidente, el Ministerio de Industria y Tecnología de la Información de China recibió un informe de una organización profesional de seguridad de redes y descubrió graves vulnerabilidades de seguridad en el componente Apache.

¿Cuáles son los fallos de los componentes de Apache? ¿Qué pasará si Alibaba Cloud no informa a tiempo? ¿Qué procedimientos deberían seguir las empresas nacionales después de descubrir vulnerabilidades de seguridad? Observer.com entrevistó a algunos expertos de la industria con estas preguntas.

Zhang Xuesong, cofundador y CTO de Vulnerability Bank, señaló al Observer que los componentes Log4j2 se utilizan ampliamente y que las vulnerabilidades ocultas pueden extenderse rápidamente a varios campos. Alibaba Cloud no informó oportunamente las vulnerabilidades relevantes a las autoridades nacionales, lo que puso directamente a las instituciones nacionales pertinentes en una posición pasiva.

En cuanto al papel clave de los componentes Log4j2 en el campo de las redes informáticas, algunos internautas extranjeros dieron una vívida explicación en forma de cómics. Según este diagrama, toda la infraestructura digital moderna corre peligro de colapsar sin el soporte de los componentes Log4j2.

Usuarios extranjeros de redes sociales explicaron la importancia de Log4j2 en forma de cómics.

Cronología del observador. com compiló esta grave vulnerabilidad de seguridad de Apache de la siguiente manera:

La información pública muestra que Apache Log4j2 descubierto por el equipo de seguridad en Alibaba Cloud es una herramienta de registro de Java de código abierto que controla la generación de información de registro en el sistema Java. Configuración de impresión y formato. Este componente se utiliza en una gran cantidad de marcos comerciales y, por lo tanto, se usa ampliamente en diversas aplicaciones y servicios de red.

Un experto importante de la industria dijo a los observadores que las vulnerabilidades de seguridad de los componentes Log4j2 tienen dos impactos principales: primero, Log4j2 en sí se usa ampliamente en sistemas similares a Java y se usa en casi todo el mundo en Spring MVC. En segundo lugar, los detalles de la vulnerabilidad son públicos y, como las condiciones para su explotación son extremadamente bajas, casi no existe un umbral técnico. Debido a su amplia gama de aplicaciones y su baja dificultad para explotar vulnerabilidades, el impacto se extendió inmediatamente a diversas industrias.

En pocas palabras, esta vulnerabilidad permite que un atacante de la red acceda al servidor de la red sin contraseña.

Esto no es alarmista. Tras recibir la noticia, Associated Press y otros medios extranjeros comentaron que esta vulnerabilidad puede ser la vulnerabilidad informática más grave descubierta en los últimos años. Log4j2 es "ubicuo" en servidores en la nube y software empresarial utilizados en la industria y el gobierno. Incluso los delincuentes, los espías e incluso los programadores novatos pueden aprovechar fácilmente esta vulnerabilidad para ingresar a la intranet, robar información, plantar malware y eliminar información crítica.

Captura de pantalla del sitio web oficial de Alibaba Cloud

Sin embargo, después de que Alibaba Cloud descubriera esta "vulnerabilidad única más grande y crítica en diez años", no siguió la "Gestión de vulnerabilidades de seguridad de productos de red". El artículo 7 del Reglamento exige que la información se informe a la Plataforma de intercambio de información sobre vulnerabilidades y amenazas a la seguridad cibernética del Ministerio de Industria y Tecnología de la Información en un plazo de dos días, pero la información relevante solo se notificó a la Apache Software Foundation.

Según información pública de Observer.com, Apache fue fundada en Estados Unidos en 1999 y es una organización sin fines de lucro que se especializa en apoyar proyectos de software de código abierto. En los proyectos y subproyectos de Apache que admite, los productos de software distribuidos siguen la licencia de Apache.

65438 El 10 de febrero, más de medio mes después de que la Apache Software Foundation se enterara de la vulnerabilidad en Alibaba Cloud, la plataforma de intercambio de vulnerabilidades de seguridad de la información nacional de China* * * obtuvo información relevante y lanzó el control remoto Apache Log4j2. Vulnerabilidad de ejecución de código. El aviso de seguridad indica que Apache ha lanzado oficialmente un parche para corregir la vulnerabilidad y recomienda que los usuarios afectados actualicen inmediatamente a la última versión y tomen precauciones para evitar amenazas de ataques de vulnerabilidad.

Vulnerabilidad de seguridad de la información nacional de China* * *Comparta una captura de pantalla del sitio web oficial de la plataforma.

De hecho, existe un proceso claro para informar sobre vulnerabilidades de red en China.

Los expertos de la industria dijeron a los periodistas de Observer.com que el proceso común de informe de vulnerabilidades en la industria es: Unidad Miembro>: Administración de Seguridad Cibernética del Ministerio de Industria y Tecnología de la Información>Vulnerabilidad Nacional de Seguridad de la Información* * *Plataforma de intercambio (CNVD) CVE China Centro de Evaluación de Seguridad de la Información>Base de Datos Nacional de Vulnerabilidad de la Seguridad de la Información (CNNVD)>: Organización internacional sin fines de lucro CVE. Unidades o individuos no miembros que se registran para presentar CNVD o CNNVD.

La información pública muestra que CVE (Common Vulnerability * * * Enjoy Disclosure) es una organización internacional sin fines de lucro que tiene como objetivo coordinar empresas para reparar y resolver problemas de seguridad. Dado que el comité técnico para esta vulnerabilidad fue iniciado por primera vez en los Estados Unidos, la organización y las agencias de gestión se encuentran principalmente en los Estados Unidos. CNVD es una plataforma de intercambio de vulnerabilidades de seguridad de la información nacional establecida por importantes unidades de sistemas de información nacionales, operadores de telecomunicaciones básicas, fabricantes de seguridad de redes, fabricantes de software y empresas de Internet que se comparten en la base de conocimientos.

Los expertos de la industria antes mencionados creen que debido al enorme impacto de esta vulnerabilidad, Alibaba se considera una notificación típica. Antes de la creación de la CNVD y en los últimos años, el personal de seguridad nacional tenía un alto grado de conocimiento, reconocimiento y popularidad de la CVE. Cuando los investigadores de seguridad descubren una vulnerabilidad, la envían a un CVE. Aunque China ha creado la CNVD en los últimos dos años, no es lo suficientemente conocida. Se estima que cuando los investigadores de seguridad de Alibaba presentaron la vulnerabilidad, la consideraron un logro técnico personal y la informaron a organizaciones internacionales para su coordinación y reparación.

Sin embargo, de acuerdo con el último "Reglamento de gestión de vulnerabilidades de seguridad de productos de red", los investigadores de seguridad nacionales pueden presentar informes a la CNVD después de descubrir vulnerabilidades. CNVD iniciará el proceso de envío a CVE, coordinará a los fabricantes y empresas para reparar las vulnerabilidades de seguridad y no permitirá el envío directo a plataformas de vulnerabilidades extranjeras.

Debido a que el comportamiento de Alibaba Cloud no ayudó eficazmente al Ministerio de Industria y Tecnología de la Información a llevar a cabo la gestión de vulnerabilidades y amenazas a la seguridad de la red, según la última notificación del Ministerio de Industria y Tecnología de la Información, la Administración de Ciberseguridad de El Ministerio de Industria y Tecnología de la Información decidió suspender Alibaba Cloud como unidad de cooperación antes mencionada durante 6 lunas. Una vez que expire el período de suspensión, las unidades cooperativas anteriores se restaurarán en función de la situación de rectificación dentro de Alibaba Cloud.

Los expertos de la industria señalaron a los observadores. com cree que el hecho de que el Ministerio de Industria y Tecnología de la Información apunte a Alibaba esta vez es en realidad una advertencia para los profesionales de la industria de seguridad de redes nacionales. A juzgar por los resultados, el castigo de Ali fue más leve. Primero, no fue expulsado de la unidad de miembros, sino suspendido por seis meses. En segundo lugar, el Ministerio de Industria y Tecnología de la Información no impuso sanciones administrativas ni advertencias individuales a los investigadores de seguridad involucrados en este incidente, sino que solo criticó a los expertos en seguridad que presentaron directamente la vulnerabilidad Log4j a CVE extranjeros.

Este artículo es una contribución exclusiva para el Observer. No se permite la reproducción sin autorización.

上篇: ¿Ha cambiado el sistema político de Hong Kong desde su regreso? 下篇: ¿Qué tal el Instituto de Investigación Médica Dermatología Changchun Fukang?

Artículos populares