MuleSoft如何修复关键的安全漏洞并避免灾难

John是一名软件工程师，也是一名非常优秀的人。他在一家处理在线支付的公司工作。8月1日星期四，约翰的老板把他拉进了紧急的安全会议。

也可以看看

10个危险的app漏洞需要注意(免费PDF)

约翰很害怕，但也非常好奇。可能发生了什么?上一次约翰被召入安全会议是在2017年，也就是两年多前，在那一年发生的三起勒索软件爆发期间--WannaCry，NotPetya和Bad Rabbit。

几个月前，微软公布了一个影响Windows操作系统的重大安全漏洞，名为BlueKeep，他的公司几乎没有做出反应，仅发送内部安全警报，告诉软件工程师审查Windows系统上的RDP访问设置。

坐在会议室里，等待高管和工程师坐下来，他无法抑制自己的好奇心。如果他们没有对BlueKeep做出反应，他们现在对此做出了什么反应?什么可能导致公司的这种恐慌和反应?

然后，会议开始了，约翰发现所有的骚动都是因为MuleSoft。他窃笑。两秒钟后，在他意识到这意味着什么后，他不再认为这很有趣。

MuleSoft是一家现在由Salesforce拥有的公司，它生产中间件。中间件是工程师所说的“软件胶水”。您可以在世界各地的所有大公司中找到它。

中间件可用于链接分布在数十，数百或数千台服务器上的云应用程序，但它也可用于较小的网络，以便在数据在不同格式的应用程序之间移动时进行转换。每个人都使用中间件。大家好!

秘密的MULESOFT通知电子邮件

在他参加会议时，John了解到MuleSoft的Mule运行时和API网关中的一个安全漏洞，这是该公司最受欢迎的两个产品。

他不是唯一一个发现这个安全漏洞的人。全世界无数其他工程师都被召入类似的会议或与MuleSoft的安全团队打电话。

前一天，MuleSoft向选定的客户列表发送了一封电子邮件。它敦促运行内部Mule引擎的公司安装在同一天发布的最新补丁。

这封由ZDNet和下面嵌入的电子邮件也敦促公司安排与MuleSoft员工紧急联系，这样他们就可以了解前一天秘密修补的安全漏洞细节。

该公司计划向公众发布详细信息，但在一个月内，他们可以让公司在修补内部部署系统方面处于领先地位。

出于安全性，隐私和合规性原因，运行内部部署系统的公司处理的数据非常敏感，无法上传到公共云。MuleSoft主页列出了各种银行，支付处理商和云提供商，这些银行，支付处理商和云提供商最有可能运行内部部署系统，而不是依赖于Salesforce和MuleSoft提供的Mule引擎和API门户服务(在电子邮件之前已经修补过)甚至被送了)。

根据电子邮件的内容，可以看出MuleSoft非常重视安全漏洞。在一个罕见的步骤中，MuleSoft已经要求电子邮件的收件人不要与任何人共享安全警报的内容，甚至不是口头上的。该公司将漏洞的存在描述为“需要知道”的问题。

显然，电子邮件泄露了。它在Twitter，Slack和Discord频道以及电报组上泄露。很容易理解为什么它引起了所有人的注意。什么可能是如此糟糕，以至于MuleSoft描述为“需要知道”的问题?

目录遍历错误

有几个人下载了补丁并分析了他们的内容。他们在MuleSoft的代码中找到了修复程序，特定于目录(或路径)遍历错误。

这种错误可能允许恶意攻击者在意外的系统位置上传和植入系统上的文件。如果攻击者可以微调攻击，他可以控制恶意文件最终的位置。

Windows或Linux系统上有多个位置可以自动执行上载的文件，从而导致攻击者可以运行恶意代码并完全接管易受攻击的服务器。

由于某些中间件位于Web服务器后面，因此它们有效地位于Internet上，Web服务器自动将外部输入传递到中间件，以便传输到内部API，数据库或数据处理系统。

这是一个非常危险的错误，MuleSoft知道这一点。

当ZDNet联系 MuleSoft发表评论时，我们几乎立即被召入电话会议，与MuleSoft首席技术官Uri Sarid和Salesforce首席信托官Jim Alkove在一个小时内，周五晚上，当大多数人回家时。

他们有一台运行良好的机器，一些爱管闲事的记者即将破坏一切。Sarid和Alkove担心新闻报道会不必要地关注他们公司的安全漏洞，并可能导致他们的一些客户受到攻击。

但他们没有否认任何错误，而是花时间解释他们为处理这个漏洞所采用的复杂系统，到那时，ZDNet的发布将是不负责任的。

一种通知客户的新方法

MuleSoft在此问题上付出了最大的努力。该公司已经在该问题上投入了大量的客户支持力量，并且无论如何都打算通知每个客户运行内部部署系统。

代表们被命令部分召集每家公司。每个运行现场Mule引擎或API网关的人都会接到电话，检查他们是否收到并阅读了电子邮件。

此外，Sarid表示，MuleSoft采取了前所未有的措施，寻求与每家公司的安全和DevOps部门进行沟通，而不仅仅是秘书或销售代表。

他们非常重视这个安全漏洞。他们希望他们的信息能够传达给每个组织中的合适人选，他们希望确保公司安装补丁。

但他们并没有就此止步。在公司安装补丁后，MuleSoft还安排了第二波呼叫，验证客户是否遵循，并传递额外的缓解建议。

MuleSoft和Salesforce高管并没有夸大其词。他们在8月初的第一次电话会议上告诉ZDNet的是我们在各种在线讨论板上所讨论的内容，其中许多程序员正在描述类似的电话和安全会议。

“我们确实与这些客户进行了数千次通话，有趣的是，您可能想到的客户反馈会令人担忧，但实际上却非常积极，”Sarid 在本周五的一个后续电话中告诉ZDNet。

“许多客户感谢我们采取异常主动的方式来实际打电话并与他们讨论这个问题。他们之前没有见过供应商，”他说。

其他公司需要采取类似的方法

在推出这一独特的漏洞披露流程一个月后，MuleSoft现已上市。有关此安全问题的详细信息，如其私人电子邮件通知中所承诺的，已在该公司的网站上发布。ZDNet了解到，MITER还在为此漏洞分配CVE(安全漏洞标识符)。

但是，虽然MuleSoft的客户已修补，但Sarid现在希望其他公司可以从MuleSoft的经验中学习，并采取类似的主动方法来通知客户关键问题，而不是将所有责任推迟给客户。

“你不想以同样的方式处理所有事情，”Sarid告诉ZDNet。“许多较小的漏洞可以通过标准方式解决，在Patch Tuesdays中。

“但那些要求采取紧急行动的人在公开披露之前就已经披露了，对于那些没有任何公司可以遵循的标准程序。”

Sarid希望其他公司在处理重大安全漏洞时遵循MuleSoft的方法，而不是将安全建议倾倒在隐藏在其网站某处的支持页面上，很少有人知道这些内容，而无需通过基本信息通知客户一封电子邮件，更不用说电话了。

MULESOFT VS FORTINET&PULSE SECURE披露惨败

Sarid提出的建议很有意义，但在现实世界中几乎从未完成过。

然而，命运给了Sarid和MuleSoft一个帮助，证明当公司采取一种缺乏实际的方法来通知客户关键漏洞时会发生什么。

今年早些时候，安全研究人员在许多企业VPN产品中发现了几个安全漏洞。Fortinet和Pulse Secure的产品受到这些缺陷的影响。这些公司完成了他们的工作并修补了这些问题，然后在他们的网站上发布了安全建议。

问题是大多数客户都不知道这些更新，以及它们包含针对主要安全漏洞的修复程序。当黑客在8月中旬开始利用这些漏洞时，大多数使用这些VPN产品的公司都没有做好准备。

这里有很多漏洞，但Pulse Secure的一个关键因素是路径遍历错误，它在代码中被*特别允许*。我们不应该转售那些不负责任地披露和补救的供应商。

同上。对于客户经理来说，提到他们已经向我们发送了一个带有远程访问后门的软件可能会很好，这个后门正在疯狂地被利用，我们可能想要修补。https://t.co/ynyfBhEu1M

现在想象一下，这些公司是否接到过Fortinet或Pulse Secure的电话，类似于MuleSoft处理其安全问题的方式?

MuleSoft首席技术官确切地知道Fortinet和Pulse Secure客户会如何反应，因为他的公司亲身体验过它。

“当你与适当的安全人员交谈时，你告诉他们只有安全人员理解的更多信息并处理这些信息时，他们会转过身来说'谢谢你!'，”Sarid告诉ZDNet。

“所以它将这种潜在的非常负面的互动变成了非常积极的东西，这有望激励其他公司，像我们这样的其他供应商采取这种行动。”