MuleSoft如何修復(fù)關(guān)鍵的安全漏洞并避免災(zāi)難

John是一名軟件工程師，也是一名非常優(yōu)秀的人。他在一家處理在線支付的公司工作。8月1日星期四，約翰的老板把他拉進(jìn)了緊急的安全會(huì)議。

也可以看看

10個(gè)危險(xiǎn)的app漏洞需要注意(免費(fèi)PDF)

約翰很害怕，但也非常好奇?？赡馨l(fā)生了什么?上一次約翰被召入安全會(huì)議是在2017年，也就是兩年多前，在那一年發(fā)生的三起勒索軟件爆發(fā)期間--WannaCry，NotPetya和Bad Rabbit。

幾個(gè)月前，微軟公布了一個(gè)影響Windows操作系統(tǒng)的重大安全漏洞，名為BlueKeep，他的公司幾乎沒有做出反應(yīng)，僅發(fā)送內(nèi)部安全警報(bào)，告訴軟件工程師審查Windows系統(tǒng)上的RDP訪問設(shè)置。

坐在會(huì)議室里，等待高管和工程師坐下來，他無法抑制自己的好奇心。如果他們沒有對(duì)BlueKeep做出反應(yīng)，他們現(xiàn)在對(duì)此做出了什么反應(yīng)?什么可能導(dǎo)致公司的這種恐慌和反應(yīng)?

然后，會(huì)議開始了，約翰發(fā)現(xiàn)所有的騷動(dòng)都是因?yàn)镸uleSoft。他竊笑。兩秒鐘后，在他意識(shí)到這意味著什么后，他不再認(rèn)為這很有趣。

MuleSoft是一家現(xiàn)在由Salesforce擁有的公司，它生產(chǎn)中間件。中間件是工程師所說的“軟件膠水”。您可以在世界各地的所有大公司中找到它。

中間件可用于鏈接分布在數(shù)十，數(shù)百或數(shù)千臺(tái)服務(wù)器上的云應(yīng)用程序，但它也可用于較小的網(wǎng)絡(luò)，以便在數(shù)據(jù)在不同格式的應(yīng)用程序之間移動(dòng)時(shí)進(jìn)行轉(zhuǎn)換。每個(gè)人都使用中間件。大家好!

秘密的MULESOFT通知電子郵件

在他參加會(huì)議時(shí)，John了解到MuleSoft的Mule運(yùn)行時(shí)和API網(wǎng)關(guān)中的一個(gè)安全漏洞，這是該公司最受歡迎的兩個(gè)產(chǎn)品。

他不是唯一一個(gè)發(fā)現(xiàn)這個(gè)安全漏洞的人。全世界無數(shù)其他工程師都被召入類似的會(huì)議或與MuleSoft的安全團(tuán)隊(duì)打電話。

前一天，MuleSoft向選定的客戶列表發(fā)送了一封電子郵件。它敦促運(yùn)行內(nèi)部Mule引擎的公司安裝在同一天發(fā)布的最新補(bǔ)丁。

這封由ZDNet和下面嵌入的電子郵件也敦促公司安排與MuleSoft員工緊急聯(lián)系，這樣他們就可以了解前一天秘密修補(bǔ)的安全漏洞細(xì)節(jié)。

該公司計(jì)劃向公眾發(fā)布詳細(xì)信息，但在一個(gè)月內(nèi)，他們可以讓公司在修補(bǔ)內(nèi)部部署系統(tǒng)方面處于領(lǐng)先地位。

出于安全性，隱私和合規(guī)性原因，運(yùn)行內(nèi)部部署系統(tǒng)的公司處理的數(shù)據(jù)非常敏感，無法上傳到公共云。MuleSoft主頁列出了各種，支付處理商和云提供商，這些，支付處理商和云提供商最有可能運(yùn)行內(nèi)部部署系統(tǒng)，而不是依賴于Salesforce和MuleSoft提供的Mule引擎和API門戶服務(wù)(在電子郵件之前已經(jīng)修補(bǔ)過)甚至被送了)。

根據(jù)電子郵件的內(nèi)容，可以看出MuleSoft非常重視安全漏洞。在一個(gè)罕見的步驟中，MuleSoft已經(jīng)要求電子郵件的收件人不要與任何人共享安全警報(bào)的內(nèi)容，甚至不是口頭上的。該公司將漏洞的存在描述為“需要知道”的問題。

顯然，電子郵件泄露了。它在Twitter，Slack和Discord頻道以及電報(bào)組上泄露。很容易理解為什么它引起了所有人的注意。什么可能是如此糟糕，以至于MuleSoft描述為“需要知道”的問題?

目錄遍歷錯(cuò)誤

有幾個(gè)人下載了補(bǔ)丁并分析了他們的內(nèi)容。他們?cè)贛uleSoft的代碼中找到了修復(fù)程序，特定于目錄(或路徑)遍歷錯(cuò)誤。

這種錯(cuò)誤可能允許惡意攻擊者在意外的系統(tǒng)位置上傳和植入系統(tǒng)上的文件。如果攻擊者可以微調(diào)攻擊，他可以控制惡意文件最終的位置。

Windows或Linux系統(tǒng)上有多個(gè)位置可以自動(dòng)執(zhí)行上載的文件，從而導(dǎo)致攻擊者可以運(yùn)行惡意代碼并完全接管易受攻擊的服務(wù)器。

由于某些中間件位于Web服務(wù)器后面，因此它們有效地位于Internet上，Web服務(wù)器自動(dòng)將外部輸入傳遞到中間件，以便傳輸?shù)絻?nèi)部API，數(shù)據(jù)庫或數(shù)據(jù)處理系統(tǒng)。

這是一個(gè)非常危險(xiǎn)的錯(cuò)誤，MuleSoft知道這一點(diǎn)。

當(dāng)ZDNet聯(lián)系 MuleSoft發(fā)表評(píng)論時(shí)，我們幾乎立即被召入電話會(huì)議，與MuleSoft首席技術(shù)官Uri Sarid和Salesforce首席信托官Jim Alkove在一個(gè)小時(shí)內(nèi)，周五晚上，當(dāng)大多數(shù)人回家時(shí)。

他們有一臺(tái)運(yùn)行良好的機(jī)器，一些愛管閑事的記者即將破壞一切。Sarid和Alkove擔(dān)心新聞報(bào)道會(huì)不必要地關(guān)注他們公司的安全漏洞，并可能導(dǎo)致他們的一些客戶受到攻擊。

但他們沒有否認(rèn)任何錯(cuò)誤，而是花時(shí)間解釋他們?yōu)樘幚磉@個(gè)漏洞所采用的復(fù)雜系統(tǒng)，到那時(shí)，ZDNet的發(fā)布將是不負(fù)責(zé)任的。

一種通知客戶的新方法

MuleSoft在此問題上付出了最大的努力。該公司已經(jīng)在該問題上投入了大量的客戶支持力量，并且無論如何都打算通知每個(gè)客戶運(yùn)行內(nèi)部部署系統(tǒng)。

代表們被命令部分召集每家公司。每個(gè)運(yùn)行現(xiàn)場(chǎng)Mule引擎或API網(wǎng)關(guān)的人都會(huì)接到電話，檢查他們是否收到并閱讀了電子郵件。

此外，Sarid表示，MuleSoft采取了前所未有的措施，尋求與每家公司的安全和DevOps部門進(jìn)行溝通，而不僅僅是秘書或銷售代表。

他們非常重視這個(gè)安全漏洞。他們希望他們的信息能夠傳達(dá)給每個(gè)組織中的合適人選，他們希望確保公司安裝補(bǔ)丁。

但他們并沒有就此止步。在公司安裝補(bǔ)丁后，MuleSoft還安排了第二波呼叫，驗(yàn)證客戶是否遵循，并傳遞額外的緩解建議。

MuleSoft和Salesforce高管并沒有夸大其詞。他們?cè)?月初的第一次電話會(huì)議上告訴ZDNet的是我們?cè)诟鞣N在線討論板上所討論的內(nèi)容，其中許多程序員正在描述類似的電話和安全會(huì)議。

“我們確實(shí)與這些客戶進(jìn)行了數(shù)千次通話，有趣的是，您可能想到的客戶反饋會(huì)令人擔(dān)憂，但實(shí)際上卻非常積極，”Sarid 在本周五的一個(gè)后續(xù)電話中告訴ZDNet。

“許多客戶感謝我們采取異常主動(dòng)的方式來實(shí)際打電話并與他們討論這個(gè)問題。他們之前沒有見過供應(yīng)商，”他說。

其他公司需要采取類似的方法

在推出這一獨(dú)特的漏洞披露流程一個(gè)月后，MuleSoft現(xiàn)已上市。有關(guān)此安全問題的詳細(xì)信息，如其私人電子郵件通知中所承諾的，已在該公司的網(wǎng)站上發(fā)布。ZDNet了解到，MITER還在為此漏洞分配CVE(安全漏洞標(biāo)識(shí)符)。

但是，雖然MuleSoft的客戶已修補(bǔ)，但Sarid現(xiàn)在希望其他公司可以從MuleSoft的經(jīng)驗(yàn)中學(xué)習(xí)，并采取類似的主動(dòng)方法來通知客戶關(guān)鍵問題，而不是將所有責(zé)任推遲給客戶。

“你不想以同樣的方式處理所有事情，”Sarid告訴ZDNet。“許多較小的漏洞可以通過標(biāo)準(zhǔn)方式解決，在Patch Tuesdays中。

“但那些要求采取緊急行動(dòng)的人在公開披露之前就已經(jīng)披露了，對(duì)于那些沒有任何公司可以遵循的標(biāo)準(zhǔn)程序。”

Sarid希望其他公司在處理重大安全漏洞時(shí)遵循MuleSoft的方法，而不是將安全建議傾倒在隱藏在其網(wǎng)站某處的支持頁面上，很少有人知道這些內(nèi)容，而無需通過基本信息通知客戶一封電子郵件，更不用說電話了。

MULESOFT VS FORTINET&PULSE SECURE披露慘敗

Sarid提出的建議很有意義，但在現(xiàn)實(shí)世界中幾乎從未完成過。

然而，命運(yùn)給了Sarid和MuleSoft一個(gè)幫助，證明當(dāng)公司采取一種缺乏實(shí)際的方法來通知客戶關(guān)鍵漏洞時(shí)會(huì)發(fā)生什么。

今年早些時(shí)候，安全研究人員在許多企業(yè)VPN產(chǎn)品中發(fā)現(xiàn)了幾個(gè)安全漏洞。Fortinet和Pulse Secure的產(chǎn)品受到這些缺陷的影響。這些公司完成了他們的工作并修補(bǔ)了這些問題，然后在他們的網(wǎng)站上發(fā)布了安全建議。

問題是大多數(shù)客戶都不知道這些更新，以及它們包含針對(duì)主要安全漏洞的修復(fù)程序。當(dāng)黑客在8月中旬開始利用這些漏洞時(shí)，大多數(shù)使用這些VPN產(chǎn)品的公司都沒有做好準(zhǔn)備。

這里有很多漏洞，但Pulse Secure的一個(gè)關(guān)鍵因素是路徑遍歷錯(cuò)誤，它在代碼中被*特別允許*。我們不應(yīng)該轉(zhuǎn)售那些不負(fù)責(zé)任地披露和補(bǔ)救的供應(yīng)商。

同上。對(duì)于客戶經(jīng)理來說，提到他們已經(jīng)向我們發(fā)送了一個(gè)帶有遠(yuǎn)程訪問后門的軟件可能會(huì)很好，這個(gè)后門正在瘋狂地被利用，我們可能想要修補(bǔ)。https://t.co/ynyfBhEu1M

現(xiàn)在想象一下，這些公司是否接到過Fortinet或Pulse Secure的電話，類似于MuleSoft處理其安全問題的方式?

MuleSoft首席技術(shù)官確切地知道Fortinet和Pulse Secure客戶會(huì)如何反應(yīng)，因?yàn)樗墓居H身體驗(yàn)過它。

“當(dāng)你與適當(dāng)?shù)陌踩藛T交談時(shí)，你告訴他們只有安全人員理解的更多信息并處理這些信息時(shí)，他們會(huì)轉(zhuǎn)過身來說'謝謝你!'，”Sarid告訴ZDNet。

“所以它將這種潛在的非常負(fù)面的互動(dòng)變成了非常積極的東西，這有望激勵(lì)其他公司，像我們這樣的其他供應(yīng)商采取這種行動(dòng)。”