Çin hükümeti, Log4Shell zafiyeti ilk önce kendileriyle paylaşılmadığı ve bu konuda uyarılmadıkları için Alibaba ile olan ortaklığını askıya aldı.
Çin’de internet düzenleyicisi konumunda olan “Sanayi ve Bilgi Teknolojileri Bakanlığı”, Alibaba Group iştiraklerinden Alibaba Cloud ile olan ortaklığını Log4j kütüphanesinden kaynaklanan güvenlik zafiyeti tespit edildiğinde kendileriyle paylaşılmadığı için ortaklığını durdurdu. Reuters’a göre bu ortaklık Alibaba Cloud ile bakanlık arasındaki bilgi paylaşım ve siber güvenlik tehditlerine karşı koyma işbirliğiydi.
CVSS puanı 10 üzerinden 10 olan CVE-2021-44228 kodlu Log4Shell zafiyeti, saldırganların Log4j kütüphanesini kullanan uygulamaların girdi alanlarına gireceği ufak bir payload (kötü amaçlı kod) ile sistemlere erişim sağlamasına imkan tanıyor.
Log4Shell zafiyeti İlk olarak Alibaba Cloud Security Team’den Chen Zhaojun tarafından bulunup, 24 Kasım’da Log4j kütüphanesini geliştiren Apache Vakfına bildirim yapmasıyla ortaya çıkmıştı. Henüz güvenlik yaması üzerinde çalışılırken, 8 Aralık’ta ise bilinmeyen başka bir Çinli bir siber aktör tarafından zafiyet herkese açık bir şekilde yayınlanmıştı. Bunun neticesinde Çin sistemleri de güvensiz durumda olduğundan dünyanın dört bir yanından gelen siber saldırılardan nasibini almıştı.
Çin hükümeti, Alibaba Cloud’u siber tehdit istihbaratı ortaklığından 6 aylığına çıkardı. Alibaba ise yanıt olarak risk yönetiminde sıkıntı yaşadıklarını ve bunu düzeltmek için uğraşacaklarını, zafiyetin ciddiyetini tam olarak anlamadıkları için hükümetle zamanında detayları paylaşmadığını açıkladı.
