Middleware-specialist MuleSoft werd vorige maand geconfronteerd met een ernstig lek in zijn Runtimes en API’s. Een campagne van persoonlijk contact en discretie zorgde een maand later voor tevreden klanten met gepatchte software.
Vorige maand ontdekte MuleSoft een kritiek lek in zijn API-software. De middleware-bouwer, dezer dagen eigendom van Salesforce, werd geconfronteerd met een zogenaamde path traversal-bug in zijn code. Een dergelijk bug laat aanvallers toe om bestanden te deponeren op specifieke plaatsen in het bestandssysteem. Dat zorgt er op zijn beurt voor dat een besturingssysteem zoals Windows of Linux gemanipuleerd kan worden om dergelijke bestanden uit te voeren. De middleware van MuleSoft zit dicht bij het internet op servers, wat impliceert dat het lek misbruikt kon worden om hele servers over te nemen.
Ernstig lek
Een maand na de initiële ontdekking van het lek communiceert MuleSoft er nu publiek over. Het krijgt een CVSS-rating van 8,6 en is dus ernstig te noemen. Toch is paniek niet aan de orde: MuleSoft ging de laatste maand aan de slag om ervoor te zorgen dat alle klanten een update installeerden.
De middleware van MuleSoft wordt zowel on-premises als in de cloud gebruikt. Waar de software bijvoorbeeld samen met Salesforce-functionaliteit as-a-service wordt aangeboden, rolde het bedrijf meteen zelf een update uit. De middleware wordt echter ook on-premises gebruikt door bedrijven die soms met heel kritieke gegevens omgaan.
Een patch en kennisgeving van het lek publiceren op een officiële website is de standaardstrategie, maar de geschiedenis leert dat die niet bepaald volstaat. Updates worden al te vaak te laat geïnstalleerd. De meest succesvolle malware van de laatste jaren buit steevast achterpoortjes uit die reeds gesloten zijn door de softwarebouwer. Nieuws over de patch of de ernst van een lek bereikt administrators echter niet altijd, met alle gevolgen van dien.
Persoonlijke waarschuwingen
MuleSoft wilde dat absoluut vermijden, schrijft ZDNet. Die website was al een maand op de hoogte van het probleem, maar werd door MuleSoft overtuigd om publicatie uit te stellen. Het bedrijf had zijn hele klantendienst geactiveerd om alle klanten met on-premises-software persoonlijk te contacteren. De medewerkers wilden specifiek met IT- en DevOps-verantwoordelijken spreken en deden het probleem uit de doeken. Vervolgens lieten ze weten wat er moest gebeuren om het lek te dichten. Nadien volgden er nog follow-up-telefoontjes om na te gaan of alles goed verlopen was.
Tijdens de periode van een maand, waarin MuleSoft handmatig achter klanten aanging, was geheimhouding essentieel. Het bedrijf vroeg in het kader van veiligheid specifiek aan iedereen om de aard van de kwetsbaarheid stil te houden, zodat iedereen tijd zou krijgen om te patchen. Dat lukte uiteindelijk relatief goed.
Het resultaat is dat de officiële kennisgeving van het lek vandaag geen groot risico meer inhoudt. MuleSoft heeft niet alleen een patch beschikbaar, het heeft er bovendien voor gezorgd dat iedereen die patch succesvol heeft geïnstalleerd. “Als je de moeite doet om met beveiligingsprofessionals te spreken en hen in detail uitlegt wat er mis is, in details die zij begrijpen, dan zijn ze daar achteraf dankbaar voor.” Dat vertelt MuleSofts Chief Technical Officer Uri Sarid aan ZDNet.
Kwetsbare versies
In principe is dit de paragraaf in het artikel waarin we benadrukken hoe belangrijk het is updates ook meteen te installeren, en hoe vaak uitstel zorgt voor misbruik door hackers. Dankzij de hands-on-aanpak van MuleSoft is die oproep nu in theorie overbodig. Voor de volledigheid geven we toch nog even de kwetsbare software mee:
- Voor de Mule 3 runtime: alle versies vanaf 3.2.0 en hoger gelanceerd voor 1 augustus 2019
- Voor de Mule 4 runtime: alle versies vanaf 4.1.0 en hoger gelanceerd voor 1 augustus 2019
- Voor de API Gateway: alle versies
Meer informatie over de patch vind je hier.
Gerelateerd: Wat is Mulesoft? Waarom is het 6,5 miljard dollar waard?