MOVEit漏洞在Twitter上被曝光之前遭到黑客攻击 - 彭博社

约翰·哈蒙德（John Hammond）是一家网络安全公司高级研究员Huntress，他已经失眠了几个晚上，当时他私下与Twitter上的某人交流时，对方传来了一个重磅消息。

这个人在6月15日告诉哈蒙德，他无意中发现了MOVEit文件传输软件中的一个新的零日漏洞 —— 这种漏洞没有修复补丁，使用户容易受到黑客攻击。更糟糕的是，这位匿名研究人员在Twitter上公开分享了有关这个漏洞的细节 —— 这可能是一个具有破坏性的举动，可能使攻击者在软件所有者做出回应之前就利用了这个漏洞。

这不是网络安全研究人员的标准做法。他们通常会在公开之前提前通知组织有关这类漏洞，以避免帮助坏人。 （美国国土安全部表示，在公开之前给予组织45天的时间来回应漏洞报告。）

这加剧了MOVEit软件已经存在的危机，该软件是一个由名为Clop的俄语犯罪团伙发起的持续黑客攻击活动的中心，利用了另一个零日漏洞来访问至少数十家公司和组织的文件。研究人员的发现最终加剧了MOVEit软件背后公司Progress Software Corp.的困境。

受Clop-MOVEit黑客攻击影响的公司和组织

来源：采访，公司/组织声明

* 调查潜在的数据泄露

Progress在发现Clop利用的初始零日漏洞后很快发布了补丁。根据Huntress的线报，本月早些时候又发布了第二个零日漏洞的修复，Hammond说。

阅读更多： Clop团伙在MOVEit大规模黑客攻击之前就已肆虐 (1)

现在又出现了第三个。根据与彭博新闻分享的线索截图显示，在Twitter上的一条私人消息中，匿名研究人员告诉约翰，他意识到自己发现的是一个零日事件。这位研究人员自称是一个漏洞作者和“白帽”黑客 —— 发现并报告漏洞而不是利用它们的人 —— 在消息结尾加上了一个惊讶的表情符号。

Hammond在帮助受影响的Huntress客户度过最近几天的时候表示，他测试了研究人员的方法，并得出结论，事实上这是另一个零日漏洞。但那时，研究人员已经在Twitter上发布了他的发现。

阅读更多： Clop-MOVEit黑客攻击如何展示了网络攻击的演变：QuickTake

根据截图显示，Hammond用满是汗水的表情符号回复了研究人员，并要求删除该推文。他说，这一发现也在Slack上流传。Hammond表示，他已经告知Progress其代码中的新漏洞。该公司最终被迫停用其MOVEit云服务，并敦促客户关闭他们自己的MOVEit服务器。第二天，补丁已经发布。

‘通常的流程’

“目前，我们没有看到任何证据表明这个漏洞被利用，”Progress发言人约翰·埃迪说。“在整个行业中，每年会发现成千上万次这种类型的软件漏洞，通常的流程是负责任地直接通知公司，以限制风险，而不是像这里发生的那样公开发布。”

这个零日漏洞是作为一项正常的后黑客入侵取证过程的一部分被发现的，研究人员通过反向工程入侵来尝试弄清楚发生了什么。在这个过程中，他们可能会发现软件中的新零日漏洞，但通常不会在供应商有机会发布补丁之前公布它，汉蒙德说。

阅读更多： 能源部收到网络黑客的勒索要求

“底线是在发布缓解措施之前，没有人应该暴露这个漏洞，当然也不应该发布任何关于如何利用的概念验证或讨论，就像在这种情况下所做的那样，”Cloud Range Cyber的技术和技术服务副总裁汤姆·马斯兰德说。

通过Twitter联系，匿名研究人员确认了交流的细节，并表示他位于阿根廷。他说他最初没有意识到自己在发布一个零日漏洞。

一个请求

这位研究人员，使用Twitter账号@MCKSysAr，告诉彭博社，他试图复制并发布Huntress发现的第二个已经修补的零日漏洞的方法，以便分享关于那个已修复漏洞的信息，并获得关于如何被用来攻击的想法。

除了这个bug是新的之外，研究人员说。

然而，研究人员没有在Twitter上删除他的帖子，他说他觉得为时已晚。他说他直到公开大约12小时后才意识到自己发现了一个零日漏洞。

这位研究人员说，他通常会向供应商报告零日漏洞，他还说他在周五发现了第四个MOVEit零日漏洞，并私下要求汉蒙德将其转交给Progress — 屏幕截图证实了这一点。Progress拒绝就这一说法发表评论，但该公司的发言人表示，它会负责地披露和开发关键已知漏洞的补丁，并采取其他适当措施来更新客户。

根据屏幕截图，这位研究人员说他并不是故意公开一个未修补的漏洞。即便如此，他对汉蒙德提出了一个要求：如果汉蒙德最终报告了这个bug，研究人员说，不要忘记提到他。