Chiński resort przemysłu i technologii informatycznych zamroził kontrakt z Grupą Alibaba. Powód? Firma nie podzieliła się z rządem informacją o jednej z namierzonych luk bezpieczeństwa. Nie że w swoich systemach, ale dla Pekinu to nie gra roli.
Z technicznego punktu widzenia, sprawa jest naprawdę poważna. Chodzi o podatność śledzoną jako CVE-2021-44228, znajdującą się w bibliotece Apache Log4j2. Wprawdzie mało prawdopodobne, aby ktoś spoza branży tę nazwę już słyszał, ale to piekielnie ważny komponent. Pozwala bowiem na gromadzenie logów z wykonywanego kodu i w tym właśnie celu wykorzystywany jest przez tysiące aplikacji i urządzeń na całym świecie.
Wykryta luka bezpieczeństwa natomiast, jak ustalono, naraża użytkowników na zdalne wykonanie kodu. Wystarczy odpowiedni ciąg znakowy na wejściu, by atakujący dostał szerokie pole do popisu. Mogłoby się więc wydawać, że ktoś, kto błąd tej skali odnajdzie i zaraportuje twórcom, zasługuje co najmniej na szczere słowa uznania, o ile nie wielomilionową nagrodę pieniężną. Ale nie w Chinach.
Informując 24 listopada Apache Software Foundation o zagrożeniu, autorzy raportu będący Chińczykami złamali uchwalone we wrześniu prawo, wymuszające powiadamianie o takich sprawach w pierwszej kolejności rządu. Traf chciał, że jeden z nich, a konkretniej Chen Zhaojun, na co dzień pracuje w Alibaba Cloud. Władza, niezadowolona z przebiegu akcji, postanowiła zaś zrzucić odpowiedzialność na barki firmy.
W rezultacie na okres pół roku zamrożono kontrakt pomiędzy Grupą Alibaba a chińskim rządem, na mocy którego właściciel m.in. AliExpress brał bezpośredni udział w procesie wymiany danych, czy to dot. cyberzagrożeń czy innych. Oficjalnie, jeśli spółka chce kontynuować partnerstwo, w narzuconym czasie ma przeanalizować wszystkie wewnętrzne procedury i wprowadzić do nich ewentualną korektę.
Podjętą decyzję uzasadniono troską o porządek w papierach. Trudno jednak nie snuć domysłów, czym mógłby grozić tak poważny exploit 0-day w rządowych rękach Pekinu, a docelowo zapewne u ich tajnych służb. Oceniając sytuację z boku, należy przyznać, że Chen Zhaojun zadecydował słusznie. Niemniej jak na dłoni widać też, że Chiny w temacie netsecu nie żartują i bez ogródek sięgają po najmocniejsze argumenty.
Źródło zdjęć: Shutterstock (Gil Gonzo)
Źródło tekstu: Reuters, oprac. własne