Teknoloji

Çin, Log4Shell Nedeniyle Alibaba ile Mutabakatları Askıya Aldı

Çin hükümeti, Log4Shell zafiyeti birinci evvel kendileriyle paylaşılmadığı ve bu mevzuda uyarılmadıkları için Alibaba ile olan iştirakini askıya aldı.

Çin’de internet düzenleyicisi pozisyonunda olan “Sanayi ve Bilgi Teknolojileri Bakanlığı”, Alibaba Group iştiraklerinden Alibaba Cloud ile olan iştirakini Log4j kütüphanesinden kaynaklanan güvenlik zafiyeti tespit edildiğinde kendileriyle paylaşılmadığı için iştirakini durdurdu. Reuters’a nazaran bu iştirak Alibaba Cloud ile bakanlık ortasındaki bilgi paylaşım ve siber güvenlik tehditlerine karşı koyma işbirliğiydi.

CVSS puanı 10 üzerinden 10 olan CVE-2021-44228 kodlu Log4Shell zafiyeti, saldırganların Log4j kütüphanesini kullanan uygulamaların girdi alanlarına gireceği ufak bir payload (kötü hedefli kod) ile sistemlere erişim sağlamasına imkan tanıyor.

Log4Shell zafiyeti Birinci olarak Alibaba Cloud Security Team’den Chen Zhaojun tarafından bulunup, 24 Kasım’da Log4j kütüphanesini geliştiren Apache Vakfına bildirim yapmasıyla ortaya çıkmıştı. Şimdi güvenlik yaması üzerinde çalışılırken, 8 Aralık’ta ise bilinmeyen öbür bir Çinli bir siber aktör tarafından zafiyet herkese açık bir biçimde yayınlanmıştı. Bunun sonucunda Çin sistemleri de inançsız durumda olduğundan dünyanın dört bir yanından gelen siber ataklardan nasibini almıştı.

Çin hükümeti, Alibaba Cloud’u siber tehdit istihbaratı iştirakinden 6 aylığına çıkardı. Alibaba ise karşılık olarak risk idaresinde külfet yaşadıklarını ve bunu düzeltmek için uğraşacaklarını, zafiyetin ciddiyetini tam olarak anlamadıkları için hükümetle vaktinde ayrıntıları paylaşmadığını açıkladı.

İlgili Makaleler

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.

Başa dön tuşu