MuleSoft如何修復關鍵的安全漏洞并避免災難

John是一名軟件工程師，也是一名非常優(yōu)秀的人。他在一家處理在線支付的公司工作。8月1日星期四，約翰的老板把他拉進了緊急的安全會議。

也可以看看

10個危險的app漏洞需要注意(免費PDF)

約翰很害怕，但也非常好奇?？赡馨l(fā)生了什么?上一次約翰被召入安全會議是在2017年，也就是兩年多前，在那一年發(fā)生的三起勒索軟件爆發(fā)期間--WannaCry，NotPetya和Bad Rabbit。

幾個月前，微軟公布了一個影響Windows操作系統(tǒng)的重大安全漏洞，名為BlueKeep，他的公司幾乎沒有做出反應，僅發(fā)送內(nèi)部安全警報，告訴軟件工程師審查Windows系統(tǒng)上的RDP訪問設置。

坐在會議室里，等待高管和工程師坐下來，他無法抑制自己的好奇心。如果他們沒有對BlueKeep做出反應，他們現(xiàn)在對此做出了什么反應?什么可能導致公司的這種恐慌和反應?

然后，會議開始了，約翰發(fā)現(xiàn)所有的騷動都是因為MuleSoft。他竊笑。兩秒鐘后，在他意識到這意味著什么后，他不再認為這很有趣。

MuleSoft是一家現(xiàn)在由Salesforce擁有的公司，它生產(chǎn)中間件。中間件是工程師所說的“軟件膠水”。您可以在世界各地的所有大公司中找到它。

中間件可用于鏈接分布在數(shù)十，數(shù)百或數(shù)千臺服務器上的云應用程序，但它也可用于較小的網(wǎng)絡，以便在數(shù)據(jù)在不同格式的應用程序之間移動時進行轉(zhuǎn)換。每個人都使用中間件。大家好!

秘密的MULESOFT通知電子郵件

在他參加會議時，John了解到MuleSoft的Mule運行時和API網(wǎng)關中的一個安全漏洞，這是該公司最受歡迎的兩個產(chǎn)品。

他不是唯一一個發(fā)現(xiàn)這個安全漏洞的人。全世界無數(shù)其他工程師都被召入類似的會議或與MuleSoft的安全團隊打電話。

前一天，MuleSoft向選定的客戶列表發(fā)送了一封電子郵件。它敦促運行內(nèi)部Mule引擎的公司安裝在同一天發(fā)布的最新補丁。

這封由ZDNet和下面嵌入的電子郵件也敦促公司安排與MuleSoft員工緊急聯(lián)系，這樣他們就可以了解前一天秘密修補的安全漏洞細節(jié)。

該公司計劃向公眾發(fā)布詳細信息，但在一個月內(nèi)，他們可以讓公司在修補內(nèi)部部署系統(tǒng)方面處于領先地位。

出于安全性，隱私和合規(guī)性原因，運行內(nèi)部部署系統(tǒng)的公司處理的數(shù)據(jù)非常敏感，無法上傳到公共云。MuleSoft主頁列出了各種，支付處理商和云提供商，這些，支付處理商和云提供商最有可能運行內(nèi)部部署系統(tǒng)，而不是依賴于Salesforce和MuleSoft提供的Mule引擎和API門戶服務(在電子郵件之前已經(jīng)修補過)甚至被送了)。

根據(jù)電子郵件的內(nèi)容，可以看出MuleSoft非常重視安全漏洞。在一個罕見的步驟中，MuleSoft已經(jīng)要求電子郵件的收件人不要與任何人共享安全警報的內(nèi)容，甚至不是口頭上的。該公司將漏洞的存在描述為“需要知道”的問題。

顯然，電子郵件泄露了。它在Twitter，Slack和Discord頻道以及電報組上泄露。很容易理解為什么它引起了所有人的注意。什么可能是如此糟糕，以至于MuleSoft描述為“需要知道”的問題?

目錄遍歷錯誤

有幾個人下載了補丁并分析了他們的內(nèi)容。他們在MuleSoft的代碼中找到了修復程序，特定于目錄(或路徑)遍歷錯誤。

這種錯誤可能允許惡意攻擊者在意外的系統(tǒng)位置上傳和植入系統(tǒng)上的文件。如果攻擊者可以微調(diào)攻擊，他可以控制惡意文件最終的位置。

Windows或Linux系統(tǒng)上有多個位置可以自動執(zhí)行上載的文件，從而導致攻擊者可以運行惡意代碼并完全接管易受攻擊的服務器。

由于某些中間件位于Web服務器后面，因此它們有效地位于Internet上，Web服務器自動將外部輸入傳遞到中間件，以便傳輸?shù)絻?nèi)部API，數(shù)據(jù)庫或數(shù)據(jù)處理系統(tǒng)。

這是一個非常危險的錯誤，MuleSoft知道這一點。

當ZDNet聯(lián)系 MuleSoft發(fā)表評論時，我們幾乎立即被召入電話會議，與MuleSoft首席技術官Uri Sarid和Salesforce首席信托官Jim Alkove在一個小時內(nèi)，周五晚上，當大多數(shù)人回家時。

他們有一臺運行良好的機器，一些愛管閑事的記者即將破壞一切。Sarid和Alkove擔心新聞報道會不必要地關注他們公司的安全漏洞，并可能導致他們的一些客戶受到攻擊。

但他們沒有否認任何錯誤，而是花時間解釋他們?yōu)樘幚磉@個漏洞所采用的復雜系統(tǒng)，到那時，ZDNet的發(fā)布將是不負責任的。

一種通知客戶的新方法

MuleSoft在此問題上付出了最大的努力。該公司已經(jīng)在該問題上投入了大量的客戶支持力量，并且無論如何都打算通知每個客戶運行內(nèi)部部署系統(tǒng)。

代表們被命令部分召集每家公司。每個運行現(xiàn)場Mule引擎或API網(wǎng)關的人都會接到電話，檢查他們是否收到并閱讀了電子郵件。

此外，Sarid表示，MuleSoft采取了前所未有的措施，尋求與每家公司的安全和DevOps部門進行溝通，而不僅僅是秘書或銷售代表。

他們非常重視這個安全漏洞。他們希望他們的信息能夠傳達給每個組織中的合適人選，他們希望確保公司安裝補丁。

但他們并沒有就此止步。在公司安裝補丁后，MuleSoft還安排了第二波呼叫，驗證客戶是否遵循，并傳遞額外的緩解建議。

MuleSoft和Salesforce高管并沒有夸大其詞。他們在8月初的第一次電話會議上告訴ZDNet的是我們在各種在線討論板上所討論的內(nèi)容，其中許多程序員正在描述類似的電話和安全會議。

“我們確實與這些客戶進行了數(shù)千次通話，有趣的是，您可能想到的客戶反饋會令人擔憂，但實際上卻非常積極，”Sarid 在本周五的一個后續(xù)電話中告訴ZDNet。

“許多客戶感謝我們采取異常主動的方式來實際打電話并與他們討論這個問題。他們之前沒有見過供應商，”他說。

其他公司需要采取類似的方法

在推出這一獨特的漏洞披露流程一個月后，MuleSoft現(xiàn)已上市。有關此安全問題的詳細信息，如其私人電子郵件通知中所承諾的，已在該公司的網(wǎng)站上發(fā)布。ZDNet了解到，MITER還在為此漏洞分配CVE(安全漏洞標識符)。

但是，雖然MuleSoft的客戶已修補，但Sarid現(xiàn)在希望其他公司可以從MuleSoft的經(jīng)驗中學習，并采取類似的主動方法來通知客戶關鍵問題，而不是將所有責任推遲給客戶。

“你不想以同樣的方式處理所有事情，”Sarid告訴ZDNet。“許多較小的漏洞可以通過標準方式解決，在Patch Tuesdays中。

“但那些要求采取緊急行動的人在公開披露之前就已經(jīng)披露了，對于那些沒有任何公司可以遵循的標準程序。”

Sarid希望其他公司在處理重大安全漏洞時遵循MuleSoft的方法，而不是將安全建議傾倒在隱藏在其網(wǎng)站某處的支持頁面上，很少有人知道這些內(nèi)容，而無需通過基本信息通知客戶一封電子郵件，更不用說電話了。

MULESOFT VS FORTINET&PULSE SECURE披露慘敗

Sarid提出的建議很有意義，但在現(xiàn)實世界中幾乎從未完成過。

然而，命運給了Sarid和MuleSoft一個幫助，證明當公司采取一種缺乏實際的方法來通知客戶關鍵漏洞時會發(fā)生什么。

今年早些時候，安全研究人員在許多企業(yè)VPN產(chǎn)品中發(fā)現(xiàn)了幾個安全漏洞。Fortinet和Pulse Secure的產(chǎn)品受到這些缺陷的影響。這些公司完成了他們的工作并修補了這些問題，然后在他們的網(wǎng)站上發(fā)布了安全建議。

問題是大多數(shù)客戶都不知道這些更新，以及它們包含針對主要安全漏洞的修復程序。當黑客在8月中旬開始利用這些漏洞時，大多數(shù)使用這些VPN產(chǎn)品的公司都沒有做好準備。

這里有很多漏洞，但Pulse Secure的一個關鍵因素是路徑遍歷錯誤，它在代碼中被*特別允許*。我們不應該轉(zhuǎn)售那些不負責任地披露和補救的供應商。

同上。對于客戶經(jīng)理來說，提到他們已經(jīng)向我們發(fā)送了一個帶有遠程訪問后門的軟件可能會很好，這個后門正在瘋狂地被利用，我們可能想要修補。https://t.co/ynyfBhEu1M

現(xiàn)在想象一下，這些公司是否接到過Fortinet或Pulse Secure的電話，類似于MuleSoft處理其安全問題的方式?

MuleSoft首席技術官確切地知道Fortinet和Pulse Secure客戶會如何反應，因為他的公司親身體驗過它。

“當你與適當?shù)陌踩藛T交談時，你告訴他們只有安全人員理解的更多信息并處理這些信息時，他們會轉(zhuǎn)過身來說'謝謝你!'，”Sarid告訴ZDNet。

“所以它將這種潛在的非常負面的互動變成了非常積極的東西，這有望激勵其他公司，像我們這樣的其他供應商采取這種行動。”