El Ministerio de Industria y Tecnología de la Información de la República Popular China ha anunciado la suspensión durante medio año de un acuerdo de colaboración público-privada que mantenía con Alibaba Cloud, la subsidiaria de cloud computing de Alibaba, para trabajar en el campo de la ciberseguridad y el intercambio de información.

Pero lo extraño de esta decisión es la razón detrás de la misma: que Alibaba "no reportara de inmediato las vulnerabilidades del popular sistema de logging de código abierto Apache Log4J al regulador de telecomunicaciones de China", según Reuters.

Para entender esto, debemos retroceder un poco: hace un par de semanas, se desveló la existencia de la vulnerabilidad zero-day conocida como Log4Shell… y el hecho de que afectaba a miles de plataformas online, incluyendo las aplicaciones web más populares, permitiendo realizar ataque de ejecución remota de código.

Rápidamente se le asignó un 10/10 en el CVSS (Common Vulnerability Scoring System), un estándar de medición de la gravedad de vulnerabilidades, y se llegaron a detectar más de 24.600 ataques por minuto, procedentes sobre todo de equipos de la red Tor que escaneaban incesantemente Internet es busca de sitios vulnerables.

En Genbeta

ByteDance no saldrá a bolsa en EEUU por la misma razón por la que ha caído el Bitcoin: China busca reforzar su control de la economía

Un investigador de seguridad de Alibaba, detrás del descubrimiento de la vulnerabilidad

Pero, ¿quién y cuándo se supo …