MOVEit漏洞在Twitter上被曝光之前遭到黑客攻擊 - 彭博社

約翰·哈蒙德（John Hammond）是一家網絡安全公司高級研究員Huntress，他已經失眠了幾個晚上，當時他私下與Twitter上的某人交流時，對方傳來了一個重磅消息。

這個人在6月15日告訴哈蒙德，他無意中發現了MOVEit文件傳輸軟件中的一個新的零日漏洞 —— 這種漏洞沒有修復補丁，使用户容易受到黑客攻擊。更糟糕的是，這位匿名研究人員在Twitter上公開分享了有關這個漏洞的細節 —— 這可能是一個具有破壞性的舉動，可能使攻擊者在軟件所有者做出回應之前就利用了這個漏洞。

這不是網絡安全研究人員的標準做法。他們通常會在公開之前提前通知組織有關這類漏洞，以避免幫助壞人。 （美國國土安全部表示，在公開之前給予組織45天的時間來回應漏洞報告。）

這加劇了MOVEit軟件已經存在的危機，該軟件是一個由名為Clop的俄語犯罪團伙發起的持續黑客攻擊活動的中心，利用了另一個零日漏洞來訪問至少數十家公司和組織的文件。研究人員的發現最終加劇了MOVEit軟件背後公司Progress Software Corp.的困境。

受Clop-MOVEit黑客攻擊影響的公司和組織

來源：採訪，公司/組織聲明

* 調查潛在的數據泄露

Progress在發現Clop利用的初始零日漏洞後很快發佈了補丁。根據Huntress的線報，本月早些時候又發佈了第二個零日漏洞的修復，Hammond説。

閲讀更多： Clop團伙在MOVEit大規模黑客攻擊之前就已肆虐 (1)

現在又出現了第三個。根據與彭博新聞分享的線索截圖顯示，在Twitter上的一條私人消息中，匿名研究人員告訴約翰，他意識到自己發現的是一個零日事件。這位研究人員自稱是一個漏洞作者和“白帽”黑客 —— 發現並報告漏洞而不是利用它們的人 —— 在消息結尾加上了一個驚訝的表情符號。

Hammond在幫助受影響的Huntress客户度過最近幾天的時候表示，他測試了研究人員的方法，並得出結論，事實上這是另一個零日漏洞。但那時，研究人員已經在Twitter上發佈了他的發現。

閲讀更多： Clop-MOVEit黑客攻擊如何展示了網絡攻擊的演變：QuickTake

根據截圖顯示，Hammond用滿是汗水的表情符號回覆了研究人員，並要求刪除該推文。他説，這一發現也在Slack上流傳。Hammond表示，他已經告知Progress其代碼中的新漏洞。該公司最終被迫停用其MOVEit雲服務，並敦促客户關閉他們自己的MOVEit服務器。第二天，補丁已經發布。

‘通常的流程’

“目前，我們沒有看到任何證據表明這個漏洞被利用，”Progress發言人約翰·埃迪説。“在整個行業中，每年會發現成千上萬次這種類型的軟件漏洞，通常的流程是負責任地直接通知公司，以限制風險，而不是像這裏發生的那樣公開發布。”

這個零日漏洞是作為一項正常的後黑客入侵取證過程的一部分被發現的，研究人員通過反向工程入侵來嘗試弄清楚發生了什麼。在這個過程中，他們可能會發現軟件中的新零日漏洞，但通常不會在供應商有機會發布補丁之前公佈它，漢蒙德説。

閲讀更多： 能源部收到網絡黑客的勒索要求

“底線是在發佈緩解措施之前，沒有人應該暴露這個漏洞，當然也不應該發佈任何關於如何利用的概念驗證或討論，就像在這種情況下所做的那樣，”Cloud Range Cyber的技術和技術服務副總裁湯姆·馬斯蘭德説。

通過Twitter聯繫，匿名研究人員確認了交流的細節，並表示他位於阿根廷。他説他最初沒有意識到自己在發佈一個零日漏洞。

一個請求

這位研究人員，使用Twitter賬號@MCKSysAr，告訴彭博社，他試圖複製併發布Huntress發現的第二個已經修補的零日漏洞的方法，以便分享關於那個已修復漏洞的信息，並獲得關於如何被用來攻擊的想法。

除了這個bug是新的之外，研究人員説。

然而，研究人員沒有在Twitter上刪除他的帖子，他説他覺得為時已晚。他説他直到公開大約12小時後才意識到自己發現了一個零日漏洞。

這位研究人員説，他通常會向供應商報告零日漏洞，他還説他在週五發現了第四個MOVEit零日漏洞，並私下要求漢蒙德將其轉交給Progress — 屏幕截圖證實了這一點。Progress拒絕就這一説法發表評論，但該公司的發言人表示，它會負責地披露和開發關鍵已知漏洞的補丁，並採取其他適當措施來更新客户。

根據屏幕截圖，這位研究人員説他並不是故意公開一個未修補的漏洞。即便如此，他對漢蒙德提出了一個要求：如果漢蒙德最終報告了這個bug，研究人員説，不要忘記提到他。