Alibaba bị phạt vì che giấu lỗ hổng an ninh mạng

Alibaba Cloud, công ty cung cấp điện toán đám mây của Alibaba mới đây đã phải nhận hình phạt từ chính phủ Trung Quốc vì đã không thông báo kịp thời về một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến thư viện nhật ký Log4j, cho cơ quan quản lý viễn thông của nước này.

Bộ Công nghiệp và Công nghệ Thông tin Trung Quốc (MIIT), cơ quan quản lý internet cấp cao của Trung Quốc đã tạm đình chỉ hợp tác với Alibaba trong vòng 6 tháng.

Lỗ hổng đó là CVE-2021-44228 và có tên mã là Log4Shell hay LogJam xuất hiện trong nền tảng ghi nhật ký mã nguồn mở Apache Log4j2. Nếu khai thác thành công, kẻ xấu có thể chiếm được một chuỗi được tinh chỉnh đặc biệt do phần mềm ghi lại, sau đó thực thi từ xa các đoạn code tùy ý.

Log4Shell được dùng trong hàng loạt các dịch vụ, website và ứng dụng doanh nghiệp cũng như người tiêu dùng. Những kẻ tấn công lợi dụng lỗ hổng này để chiếm quyền kiểm soát các máy chủ nhạy cảm.

Vào ngày 21/11, Chen Zhaojun thuộc nhóm bảo mật đám mây của Alibaba đã gửi email cảnh báo về lỗ hổng Log4Shell với lời nhấn mạnh về "tác động nghiêm trọng" của nó tới cho hiệp hội Apache Software Foundation. Alibaba đã sửa lỗi này và tìm cách bịt kín lỗ hổng này.

Nhưng vào ngày 8/12 vừa qua, một người giấu tên chia sẻ các chi tiết về lỗ hổng này trên nền tảng blog nổi tiếng của Trung Quốc. Điều này khiến nhóm Apache vội vã tung ra bản vá lỗi.

Sau đó, cộng đồng an ninh mạng còn phát hiện ra 3 điểm yếu khác giúp kẻ xấu khai thác lỗ hổng này. Một loạt bản cập nhật bảo mật đã được phát hành ngay sau đó.

Vào ngày 17/12 vừa qua, hãng bảo mật Israel Check Point cho biết, họ đã chặn 4,3 triệu lượt tấn công, khai thác lỗ hổng, với 46% trong số đó đến từ những nhóm tấn công mã độc có tiếng.

Trước đó, chính phủ Trung Quốc đã ban hành quy định, yêu cầu các nhà cung cấp phần mềm và mạng lưới bị ảnh hưởng bởi lỗ hổng phần mềm phải thông báo trực tiếp cho các cơ quan chính phủ.