Alibaba Cloud fue castigada por no informar vulnerabilidades graves de manera oportuna.

Alibaba Cloud fue castigada por no informar vulnerabilidades graves de manera oportuna. Alibaba Cloud ocupa una posición importante en el mercado de la nube chino Alibaba Cloud lideró el mercado de China continental con una participación del 38,3 en el tercer trimestre. de 2021. Alibaba Cloud fue castigada por no informar vulnerabilidades graves de manera oportuna.

Alibaba Cloud fue multada1 por no informar vulnerabilidades graves de manera oportuna. Recientemente, la Administración de Ciberseguridad del Ministerio de Industria y Tecnología de la Información informó que Alibaba Cloud Computing Co., Ltd. no informó a las autoridades de telecomunicaciones de manera oportuna sobre vulnerabilidades de seguridad graves en el componente Apache Log4j2 y no apoyó eficazmente al Ministerio. de Industria y Tecnología de la Información en la realización de trabajos de gestión de vulnerabilidades y amenazas a la seguridad de la red.

El informe indica que Alibaba Cloud es una unidad cooperativa de la plataforma de intercambio de información del Ministerio de Industria y Tecnología de la Información. Después de una investigación, la Administración de Ciberseguridad del Ministerio de Industria y Tecnología de la Información decidió suspender Alibaba Cloud como unidad de cooperación antes mencionada durante 6 meses. Una vez que expire el período de suspensión, las unidades cooperativas anteriores se restaurarán en función de la situación de rectificación dentro de Alibaba Cloud.

Observer.com informó detalladamente de este incidente hace unos días. 165438 El 24 de octubre, Alibaba Cloud reveló esta vulnerabilidad a la Apache Software Foundation por primera vez, pero no notificó a tiempo al Ministerio de Industria y Tecnología de la Información de China. La existencia de esta vulnerabilidad permite a los atacantes de la red acceder al servidor de la red sin contraseña.

El Ministerio de Industria y Tecnología de la Información notificó al componente Apache Log4j2 sobre importantes vulnerabilidades de seguridad.

El componente Apache log4j 2 es un marco de registro de código abierto basado en el lenguaje Java y se usa ampliamente en el desarrollo de sistemas empresariales. Recientemente, Alibaba Cloud Computing Co., Ltd. descubrió una vulnerabilidad de ejecución remota de código en el componente Apache Log4j2 y notificó a la Apache Software Foundation sobre la vulnerabilidad.

Esta vulnerabilidad puede provocar que el dispositivo se controle de forma remota, lo que provoca daños graves, como el robo de información confidencial y la interrupción de los servicios del dispositivo. Es una vulnerabilidad de alto riesgo. Para reducir los riesgos de seguridad de la red, se recuerda a las unidades relevantes y al público que presten mucha atención a la publicación de parches de vulnerabilidad para el componente Apache Log4j2, investiguen el uso del componente Apache Log4j2 en los sistemas relevantes y actualicen la versión del componente en un manera oportuna.

La Administración de Ciberseguridad del Ministerio de Industria y Tecnología de la Información continuará organizando la eliminación de vulnerabilidades, previniendo el riesgo de vulnerabilidades de seguridad de productos de red y manteniendo la seguridad de la red pública de Internet.

Alibaba Cloud fue castigada por no informar vulnerabilidades graves de manera oportuna 2 65438 En la tarde del 23 de febrero, Alibaba Cloud Computing Co., Ltd. (en adelante, "Alibaba Cloud") descubrió que el componente Apache (Apache) Log4j2 era gravemente inseguro Respondió al no informar de inmediato la infracción a las autoridades de telecomunicaciones. Alibaba Cloud declaró que Alibaba Cloud no se dio cuenta de la gravedad de la vulnerabilidad en la etapa inicial y no recibió información sobre la vulnerabilidad de manera oportuna. Alibaba Cloud fortalecerá la gestión de informes de vulnerabilidad, mejorará la concientización sobre el cumplimiento y cooperará activamente con todas las partes para prevenir riesgos de seguridad de la red.

Alibaba Cloud declaró que recientemente, un ingeniero de RD de Alibaba Cloud descubrió un error de seguridad en el componente Log4j2 e informó el problema a la comunidad de desarrolladores de software de código abierto Apache por correo electrónico de acuerdo con la práctica de la industria, buscando ayuda. La comunidad de código abierto de Apache confirmó que se trata de una vulnerabilidad de seguridad y lanzó una solución al mundo. Posteriormente, el mundo exterior confirmó la vulnerabilidad como una vulnerabilidad global importante. Log4j2 es un componente de registro de código abierto de la comunidad de código abierto Apache. Es ampliamente utilizado por empresas y organizaciones de todo el mundo en el desarrollo de diversos sistemas comerciales.

Anteriormente, Alibaba Cloud había sido castigada por esto. El 22 de febrero de 65438, la Administración de Ciberseguridad del Ministerio de Industria y Tecnología de la Información informó que Alibaba Cloud es una unidad cooperativa de la Plataforma de intercambio de información sobre amenazas de ciberseguridad del Ministerio de Industria y Tecnología de la Información. Recientemente, Alibaba Cloud no informó oportunamente a las autoridades de telecomunicaciones sobre vulnerabilidades de seguridad graves en el componente Apache Log4j2, ni apoyó eficazmente al Ministerio de Industria y Tecnología de la Información en la gestión de vulnerabilidades y amenazas a la seguridad de la red. Después de la investigación, Alibaba Cloud ha sido suspendida como unidad cooperativa antes mencionada durante 6 meses. Una vez que expire el período de suspensión, en función de la situación de rectificación de Alibaba Cloud, estudiaremos la restauración de sus unidades cooperativas mencionadas anteriormente.

El 9 de febrero de 65438, la Plataforma de intercambio de información sobre vulnerabilidades y amenazas a la seguridad de la red del Ministerio de Industria y Tecnología de la Información recibió un informe de una organización profesional de seguridad de la red de que el componente Apache Log4j2 tenía graves vulnerabilidades de seguridad. El Ministerio de Industria y Tecnología de la Información organizó de inmediato instituciones profesionales de seguridad de redes relevantes para llevar a cabo análisis de riesgo de vulnerabilidad, convocó a Alibaba Cloud, empresas de seguridad de redes e instituciones profesionales de seguridad de redes para realizar investigaciones y juicios, notificó e instó a la Apache Software Foundation a reparar la vulnerabilidad. de manera oportuna y emitió advertencias de riesgo a las unidades de la industria.

Esta vulnerabilidad puede provocar que el dispositivo se controle de forma remota, lo que provoca daños graves, como el robo de información confidencial y la interrupción de los servicios del dispositivo. Es una vulnerabilidad de alto riesgo. Para reducir los riesgos de seguridad de la red, se recuerda a las unidades relevantes y al público que presten mucha atención a la publicación de parches de vulnerabilidad para el componente Apache Log4j2, investiguen el uso del componente Apache Log4j2 en los sistemas relevantes y actualicen la versión del componente en un manera oportuna.

Después de que Conaz publicara el "Informe del tercer trimestre del mercado de computación en la nube de China 2021", Alibaba Cloud ocupó una posición importante en el mercado de la nube chino. El informe muestra que en el tercer trimestre de 2021, el tamaño general del mercado de computación en la nube de China aumentó un 43% interanual, alcanzando los 7.200 millones de dólares. En el tercer trimestre de 2021, Alibaba Cloud lideró el mercado de China continental con una participación del 38,3%. El crecimiento anual de los ingresos del 33,3% fue impulsado principalmente por Internet, los servicios financieros y las industrias minoristas.

Alibaba Cloud fue castigada por no informar vulnerabilidades graves de manera oportuna. Recientemente, informes de los medios afirmaron que Alibaba Cloud descubrió una vulnerabilidad de seguridad en el componente Apache Log4j2, pero no informó a las autoridades de telecomunicaciones de manera oportuna y no apoyó de manera efectiva al Ministerio de Industria y Tecnología de la Información en la gestión de amenazas y vulnerabilidades de seguridad de la red. gestión. Por lo tanto, Alibaba Cloud queda suspendida como unidad cooperativa antes mencionada durante medio año.

Lo que alguna vez fue un círculo tecnológico se ha convertido en un punto de encuentro social. Durante un tiempo, los internautas se dividieron en dos círculos: las personas en el círculo no técnico dijeron: Siento que Alibaba Cloud solo informó a Apache como una comunidad técnica, no como una organización, y no tuvo en cuenta la seguridad nacional.

Los círculos técnicos dicen: Por supuesto, quienquiera que haya escrito el error debe informarlo a quién. La "vulnerabilidad de seguridad" de Apache debe informarse a Apache y no puede publicarse en línea.

En la noche del día 23, Alibaba Cloud emitió una declaración sobre la vulnerabilidad log4j2, admitiendo sinceramente su error y afirmó que fortalecería la gestión de informes de vulnerabilidad, mejoraría la conciencia de cumplimiento y cooperaría activamente con todas las partes para impedir la seguridad de la red.

Si analizamos este tema tan técnico, hay muchos hechos que es necesario aclarar.

En primer lugar, ¿qué es la comunidad de código abierto Apache? ¿Qué son los componentes de Log4j2?

Apache es una comunidad de código abierto influyente en el mundo. Según el sitio web oficial, empresas chinas como Huawei, Tencent y Alibaba son importantes contribuyentes a esta comunidad de código abierto, junto con empresas estadounidenses como Google y Microsoft. Los ingenieros de software de todo el mundo están construyendo aquí algunos componentes de software básicos, iterando entre sí y mejorando la eficiencia. Este es un fenómeno exclusivo de la industria del software.

La vulnerabilidad Log4j2 descubierta esta vez es un componente de registro de código abierto propiedad de la comunidad de código abierto Apache. Muchas empresas desarrollarán sus propios sistemas utilizando este componente. Cuando los ingenieros de Alibaba Cloud descubrieron un problema con este componente, preguntaron a Apache por correo electrónico y pidieron a la comunidad que confirmara si se trataba de una vulnerabilidad y evaluaran el alcance del impacto.

Apache luego confirmó que se trataba de un error y notificó al desarrollador para que lo solucionara. Como resultado, hubo una situación apocalíptica * * * en este momento, y las lagunas se corrigieron juntas.

Sin embargo, Alibaba Cloud pasó por alto una plataforma de informes oficial que se lanzó no hace mucho. Solo siguió la práctica de la industria e informó este problema a la comunidad de desarrolladores de software de código abierto Apache por correo electrónico.

En segundo lugar, el Ministerio de Industria y Tecnología de la Información suspendió las calificaciones de socios de Alibaba Cloud durante 6 meses. ¿Qué quiere decir esto?

Según Gong Xin Weibao: "El 9 de febrero de 65438, la plataforma de intercambio de información sobre vulnerabilidades y amenazas a la seguridad de la red del Ministerio de Industria y Tecnología de la Información recibió un informe de una organización profesional de seguridad de la red de que el componente Apache Log4j2 tenía graves vulnerabilidades de seguridad, el Ministerio de Industria y Tecnología de la Información organizó inmediatamente las redes relevantes. Las organizaciones de seguridad profesionales realizan análisis de riesgo de vulnerabilidad, convocando a Alibaba Cloud, empresas de seguridad de redes, organizaciones profesionales de seguridad de redes, etc.

Llevar a cabo investigaciones y juicios, notificar e instar a la Apache Software Foundation a reparar las vulnerabilidades de manera oportuna y proporcionar advertencias de riesgo a las unidades de la industria. ”

La suspensión por seis meses de las calificaciones de socios reportada por los medios no apareció en los canales públicos. Según expertos del sector, esto no es un "castigo" en sentido estricto, de lo contrario sería imposible no informarlo públicamente. En segundo lugar, la Plataforma de intercambio de información sobre amenazas y vulnerabilidades de ciberseguridad es una plataforma para recopilar e informar sobre vulnerabilidades de ciberseguridad. La suspensión de las calificaciones de cooperación de la plataforma no afectará el negocio.

Advertencia de riesgo del Ministerio de Industria y Tecnología de la Información sobre la vulnerabilidad Log4j2

Sin embargo, este incidente refleja la negligencia común en la industria informática. Durante décadas de desarrollo de la industria informática nacional, un gran número de empleados y organizaciones han desarrollado el hábito de trabajar de cooperar con la comunidad de código abierto, pero su conciencia sobre la seguridad y el cumplimiento a un nivel superior es insuficiente desde el punto de vista ideológico e institucional. Las omisiones de Alibaba Cloud también son una manifestación concreta de esta omisión de conciencia.

En general, este incidente tiene un impacto positivo en la industria, sirviendo como advertencia y demostración. Alibaba Cloud es una empresa de TI líder en la industria, por lo que fue la primera en el mundo en descubrir importantes vulnerabilidades de seguridad. La ocurrencia de este incidente sin duda mejorará la conciencia sobre el cumplimiento de la seguridad en la industria informática. Es concebible que tanto Alibaba Cloud como muchas otras empresas de tecnología fortalezcan la capacitación en cumplimiento y los estándares de procesos dentro de las empresas y organizaciones.