首頁 科技正文

MuleSoft如何修複關鍵的安全漏洞并避免災難

科技 2019-09-02 08:36:49

John是一名軟件工程師,也是一名非常優秀的人。他在一家處理在線支付的公司工作。8月1日星期四,約翰的老闆把他拉進了緊急的安全會議。

也可以看看

10個危險的app漏洞需要注意(免費PDF)

約翰很害怕,但也非常好奇。可能發生了什麼?上一次約翰被召入安全會議是在2017年,也就是兩年多前,在那一年發生的三起勒索軟件爆發期間--WannaCry,NotPetya和Bad Rabbit。

幾個月前,微軟公布了一個影響Windows操作系統的重大安全漏洞,名為BlueKeep,他的公司幾乎沒有做出反應,僅發送内部安全警報,告訴軟件工程師審查Windows系統上的RDP訪問設置。

坐在會議室裡,等待高管和工程師坐下來,他無法抑制自己的好奇心。如果他們沒有對BlueKeep做出反應,他們現在對此做出了什麼反應?什麼可能導緻公司的這種恐慌和反應?

然後,會議開始了,約翰發現所有的騷動都是因為MuleSoft。他竊笑。兩秒鐘後,在他意識到這意味着什麼後,他不再認為這很有趣。

MuleSoft是一家現在由Salesforce擁有的公司,它生産中間件。中間件是工程師所說的“軟件膠水”。您可以在世界各地的所有大公司中找到它。

中間件可用于鍊接分布在數十,數百或數千台服務器上的雲應用程序,但它也可用于較小的網絡,以便在數據在不同格式的應用程序之間移動時進行轉換。每個人都使用中間件。大家好!

秘密的MULESOFT通知電子郵件

在他參加會議時,John了解到MuleSoft的Mule運行時和API網關中的一個安全漏洞,這是該公司最受歡迎的兩個産品。

他不是唯一一個發現這個安全漏洞的人。全世界無數其他工程師都被召入類似的會議或與MuleSoft的安全團隊打電話。

前一天,MuleSoft向選定的客戶列表發送了一封電子郵件。它敦促運行内部Mule引擎的公司安裝在同一天發布的最新補丁。

這封由ZDNet和下面嵌入的電子郵件也敦促公司安排與MuleSoft員工緊急聯系,這樣他們就可以了解前一天秘密修補的安全漏洞細節。

該公司計劃向公衆發布詳細信息,但在一個月内,他們可以讓公司在修補内部部署系統方面處于領先地位。

出于安全性,隐私和合規性原因,運行内部部署系統的公司處理的數據非常敏感,無法上傳到公共雲。MuleSoft主頁列出了各種銀行,支付處理商和雲提供商,這些銀行,支付處理商和雲提供商最有可能運行内部部署系統,而不是依賴于Salesforce和MuleSoft提供的Mule引擎和API門戶服務(在電子郵件之前已經修補過)甚至被送了)。

根據電子郵件的内容,可以看出MuleSoft非常重視安全漏洞。在一個罕見的步驟中,MuleSoft已經要求電子郵件的收件人不要與任何人共享安全警報的内容,甚至不是口頭上的。該公司将漏洞的存在描述為“需要知道”的問題。

顯然,電子郵件洩露了。它在Twitter,Slack和Discord頻道以及電報組上洩露。很容易理解為什麼它引起了所有人的注意。什麼可能是如此糟糕,以至于MuleSoft描述為“需要知道”的問題?

目錄遍曆錯誤

有幾個人下載了補丁并分析了他們的内容。他們在MuleSoft的代碼中找到了修複程序,特定于目錄(或路徑)遍曆錯誤。

這種錯誤可能允許惡意攻擊者在意外的系統位置上傳和植入系統上的文件。如果攻擊者可以微調攻擊,他可以控制惡意文件最終的位置。

Windows或Linux系統上有多個位置可以自動執行上載的文件,從而導緻攻擊者可以運行惡意代碼并完全接管易受攻擊的服務器。

由于某些中間件位于Web服務器後面,因此它們有效地位于Internet上,Web服務器自動将外部輸入傳遞到中間件,以便傳輸到内部API,數據庫或數據處理系統。

這是一個非常危險的錯誤,MuleSoft知道這一點。

當ZDNet聯系 MuleSoft發表評論時,我們幾乎立即被召入電話會議,與MuleSoft首席技術官Uri Sarid和Salesforce首席信托官Jim Alkove在一個小時内,周五晚上,當大多數人回家時。

他們有一台運行良好的機器,一些愛管閑事的記者即将破壞一切。Sarid和Alkove擔心新聞報道會不必要地關注他們公司的安全漏洞,并可能導緻他們的一些客戶受到攻擊。

但他們沒有否認任何錯誤,而是花時間解釋他們為處理這個漏洞所采用的複雜系統,到那時,ZDNet的發布将是不負責任的。

一種通知客戶的新方法

MuleSoft在此問題上付出了最大的努力。該公司已經在該問題上投入了大量的客戶支持力量,并且無論如何都打算通知每個客戶運行内部部署系統。

代表們被命令部分召集每家公司。每個運行現場Mule引擎或API網關的人都會接到電話,檢查他們是否收到并閱讀了電子郵件。

此外,Sarid表示,MuleSoft采取了前所未有的措施,尋求與每家公司的安全和DevOps部門進行溝通,而不僅僅是秘書或銷售代表。

他們非常重視這個安全漏洞。他們希望他們的信息能夠傳達給每個組織中的合适人選,他們希望确保公司安裝補丁。

但他們并沒有就此止步。在公司安裝補丁後,MuleSoft還安排了第二波呼叫,驗證客戶是否遵循,并傳遞額外的緩解建議。

MuleSoft和Salesforce高管并沒有誇大其詞。他們在8月初的第一次電話會議上告訴ZDNet的是我們在各種在線讨論闆上所讨論的内容,其中許多程序員正在描述類似的電話和安全會議。

“我們确實與這些客戶進行了數千次通話,有趣的是,您可能想到的客戶反饋會令人擔憂,但實際上卻非常積極,”Sarid 在本周五的一個後續電話中告訴ZDNet。

“許多客戶感謝我們采取異常主動的方式來實際打電話并與他們讨論這個問題。他們之前沒有見過供應商,”他說。

其他公司需要采取類似的方法

在推出這一獨特的漏洞披露流程一個月後,MuleSoft現已上市。有關此安全問題的詳細信息,如其私人電子郵件通知中所承諾的,已在該公司的網站上發布。ZDNet了解到,MITER還在為此漏洞分配CVE(安全漏洞标識符)。

但是,雖然MuleSoft的客戶已修補,但Sarid現在希望其他公司可以從MuleSoft的經驗中學習,并采取類似的主動方法來通知客戶關鍵問題,而不是将所有責任推遲給客戶。

“你不想以同樣的方式處理所有事情,”Sarid告訴ZDNet。“許多較小的漏洞可以通過标準方式解決,在Patch Tuesdays中。

“但那些要求采取緊急行動的人在公開披露之前就已經披露了,對于那些沒有任何公司可以遵循的标準程序。”

Sarid希望其他公司在處理重大安全漏洞時遵循MuleSoft的方法,而不是将安全建議傾倒在隐藏在其網站某處的支持頁面上,很少有人知道這些内容,而無需通過基本信息通知客戶一封電子郵件,更不用說電話了。

MULESOFT VS FORTINET&PULSE SECURE披露慘敗

Sarid提出的建議很有意義,但在現實世界中幾乎從未完成過。

然而,命運給了Sarid和MuleSoft一個幫助,證明當公司采取一種缺乏實際的方法來通知客戶關鍵漏洞時會發生什麼。

今年早些時候,安全研究人員在許多企業VPN産品中發現了幾個安全漏洞。Fortinet和Pulse Secure的産品受到這些缺陷的影響。這些公司完成了他們的工作并修補了這些問題,然後在他們的網站上發布了安全建議。

問題是大多數客戶都不知道這些更新,以及它們包含針對主要安全漏洞的修複程序。當黑客在8月中旬開始利用這些漏洞時,大多數使用這些VPN産品的公司都沒有做好準備。

這裡有很多漏洞,但Pulse Secure的一個關鍵因素是路徑遍曆錯誤,它在代碼中被*特别允許*。我們不應該轉售那些不負責任地披露和補救的供應商。

同上。對于客戶經理來說,提到他們已經向我們發送了一個帶有遠程訪問後門的軟件可能會很好,這個後門正在瘋狂地被利用,我們可能想要修補。https://t.co/ynyfBhEu1M

現在想象一下,這些公司是否接到過Fortinet或Pulse Secure的電話,類似于MuleSoft處理其安全問題的方式?

MuleSoft首席技術官确切地知道Fortinet和Pulse Secure客戶會如何反應,因為他的公司親身體驗過它。

“當你與适當的安全人員交談時,你告訴他們隻有安全人員理解的更多信息并處理這些信息時,他們會轉過身來說'謝謝你!',”Sarid告訴ZDNet。

“所以它将這種潛在的非常負面的互動變成了非常積極的東西,這有望激勵其他公司,像我們這樣的其他供應商采取這種行動。”

鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播更多信息之目的,如作者信息标記有誤,請第一時間聯系我們修改或删除,多謝。