De Chinese overheid zou een samenwerking met Alibaba zijn gestopt omdat het bedrijf de Log4Shell-kwetsbaarheid in log4j direct aan de ontwikkelaars zou hebben gemeld. Het ministerie van Industrie en ICT wilde liefst eerst zelf over de kwetsbaarheid horen.
Het ministerie van IIT heeft volgens de South China Morning Post de samenwerking opgezegd met Alibaba Cloud. Het gaat om een samenwerking voor het threat intel-platform dat het ministerie in 2019 opzette. Dat instituut verzamelt namens de overheid dreigingsinformatie, vergelijkbaar met hoe het Nederlandse NCSC opereert. Officieel verzamelt het ministerie die gegevens om andere bedrijven te waarschuwen voor bedreigingen, maar in de praktijk worden kwetsbaarheden door Chinese staatshackers gebruikt voor spionageactiviteiten. Dat zou in het geval van log4j zeer problematisch zijn geweest; de library komt in tienduizenden applicaties over de hele wereld voor en de kwetsbaarheid is makkelijk uit te buiten.
Alibaba Cloud is een belangrijke partner voor dat platform; het bedrijf heeft analisten in dienst die zoeken naar kwetsbaarheden. Het was Alibaba dat eerder deze maand de kwetsbaarheid in Java-library log4j ontdekte. De onderzoekers gaven dat door aan de ontwikkelaar van de library, die er een patch voor maakte voor informatie publiek beschikbaar werd.
Volgens de South China Morning Post heeft het Chinese ministerie nu de samenwerking opgezegd met Alibaba. Dat gebeurt voor een periode van in ieder geval zes maanden. Officieel moeten bedrijven kwetsbaarheden in hun eigen software verplicht aan het ministerie melden, maar voor kwetsbaarheden die ze vinden in software van derden geldt alleen een advies.
Zowel Alibaba Cloud als het ministerie hebben zelf geen officieel bericht over het voorval geplaatst. Het is niet bekend hoe groot de klap voor Alibaba is. Mogelijk verliest het bedrijf door het boycot andere overheidsklanten die veel geld opleveren.
/i/2004850654.png?f=fpa_thumb)
:strip_exif()/i/2004648158.jpeg?f=fpa)
:strip_exif()/i/2005618266.jpeg?f=fpa)
:strip_exif()/i/2004648164.jpeg?f=fpa)
/i/2004838090.png?f=fpa)
/i/2004628264.png?f=fpa)
/i/2004612784.png?f=fpa)
/i/2004832086.png?f=fpa)
:strip_icc():strip_exif()/u/342170/Archer%2520Outfit%2520Avatar.jpg?f=community){kind=avatar}
Die valt op zich gelukkig nog goed mee. Iemand "with the required privileges to edit configurations files" zal bij de meeste organisaties sowieso al ruimere toegang hebben of misschien zelfs verantwoordelijk zijn voor het beheer van de versies. Maar zo te zien is het dus een gelijkaardige manier van aanvallen dat via het aanpassen van het configuratiebestand kan werken. Dat kan dan wel interessant zijn om meer controle te krijgen over een systeem waar je zelf slechts controle hebt over 1 applicatie.
/u/1609808/crop61d45c427b2ff_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/390489/crop5fe25e5835a84_cropped.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/343187/avatar.jpg?f=community){kind=avatar}
/u/590416/crop5d8a8f12228ba_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/176474/littlehappy2.jpg?f=community){kind=small}
/u/218480/crop67d969f5402ed_cropped.png?f=community){kind=small}
/u/263454/wie%2520dit%2520leest%2520is%2520gek.png?f=community){kind=small}
/u/62384/crop61891f444d6e9.png?f=community){kind=small}
:strip_icc():strip_exif()/u/245721/i2.jpg?f=community){kind=small}
/u/40481/crop63f777c898038_cropped.png?f=community){kind=small}
/u/44155/marzman.png?f=community){kind=small}
:strip_icc():strip_exif()/u/54748/crop62515421a0d05_cropped.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/93936/achtsubm.jpg?f=community){kind=small}
/u/128856/crop5d383b805747c_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/373728/crop652aefd25e7b9_cropped.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/147457/revres.jpg?f=community){kind=small}
/u/26886/ijsbeer.png?f=community){kind=small}