研究人员发现，美国开发商的工作站暴露了国务院的网络数据

开发工作站可从公共 Internet 访问并运行一系列过时的软件。它还托管了一个开源 IDE（集成开发环境），软件开发人员可以使用它来创建新的软件程序。偶然发现它的安全研究人员发现他们可以执行命令：从暴露的工作站读取数据——包括密码文件。他们还可以从暴露的客户端机器转向并与同一环境中的其他服务器进行交互。简而言之：这是黑客的金矿。对于任何关心其用户和数据安全的组织来说，暴露的开发人员工作站将是一个大问题。但这不仅仅是任何组织；那是美国国务院。根据研究人员提供的一份漏洞报告副本，如果没有被发现，有问题的暴露系统可能是恶意行为者和民族国家黑客组织的跳板，可以访问国务院内部网络资源。以前，像这样的安全漏洞可能不会被注意到——除非民族国家黑客正在寻找一种简单的方法进入敏感的美国政府网络。然而，这一次，发现它的独立安全研究人员被美国政府邀请四处看看。临时审计是近几个月联邦政府内部安全革命的一部分，因为各机构已对 20-01 号约束性操作指令做出回应，这是 CISA、网络安全和基础设施安全局的一项新要求，行政部门机构发布和维护公共漏洞披露程序，或 VDP——漏洞猎人和“白帽”网络安全专业人员的一种前门。新政策于 2020 年 9 月发布。它反映了联邦政府内部不断变化的文化，长期以来一直对独立安全研究人员的工作持怀疑态度。 “VDP 是一种很好的安全实践，并迅速成为行业标准，”当时的助理总监 Bryan Ware 在谈到新政策时写道。 “在 CISA，我们相信只有当人们有机会提供帮助时，才能实现更好的政府计算机系统安全性。”

就易受攻击的国务院工作站而言，发现漏洞的团队是 Sakura Samurai，这是一群志愿网络安全专家，他们因发现流行的开源库、电子商务应用程序、印度政府服务器等中的漏洞而成为头条新闻。据驻澳大利亚的 Sakura Samurai 成员 Jackson Henry (@JacksonHHAX) 称，该组织在 3 月份公布其漏洞披露政策后不久就开始在国务院网络上进行调查，并在 4 月下旬向该机构提交了第一份报告。 16 岁时成为该组织最年轻的志愿者。 CISA 至少在最初阶段为各机构提供了一定的余地，以决定向外部研究人员开放多少面向公众的基础设施。亨利说，与其他机构相比，国务院在实施该指令方面雄心勃勃。虽然司法部等机构最初在其 VDP 中只包含一个域，但 State 有 8 个通配域，包括数千个子域。 “这是一个巨大的范围，”他说。 Sakura Samurai 研究人员发现暴露的开发工作站运行 eXide 软件，使用自动化工具对国务院已包含在其 VDP 中的子域之一进行侦察。这个基于 Web 的开源 IDE 属于为国务院工作的第三方，其中包含许多严重的安全漏洞，包括跨站点脚本 (XSS)、远程文件包含 (RFI) 和服务器端请求伪造 (SSRF) 缺陷.所有这些都是复杂的网络对手手中的强大武器。在 4 月 27 日向国务院报告他们的调查结果后，亨利和樱花武士于 4 月 29 日收到了对他们报告的确认。到 5 月 13 日，国务院已将有问题的易受攻击的端点下线。根据与福布斯分享的通信，亨利和樱花武士随后与国务院合作公开披露这些漏洞，同时还与负责开源项目的开发人员沟通以修复漏洞。随着越来越多的政府业务转向网络，发现隐藏在开源开发工具中的缺陷凸显了联邦机构面临的风险。 “国务院无法审核它使用的每一个开源包，”亨利说。 “这就是为什么 VDP 如此重要（并且）是朝着正确方向迈出的一步。”绑定指令是 CISA 努力的一部分，旨在使报告政府网站和应用程序的安全问题“在概念上就像拨打 911 一样简单”，Ware 说。

根据 BOD 20-01，行政部门机构必须在 .gov 注册商中添加安全联系人，公开发布 VDP（其中可能包括用于接收漏洞报告的网络表单）。他们还必须向其主要 .gov 网站发布包含安全联系信息的 security.txt 文件。该计划上周又向前迈进了一步：CISA 为联邦机构发布了一个 VDP 平台。该平台由 BugCrowd 和 EnDyna 公司托管，为机构提供一个集中管理的网站，用于列出其漏洞披露政策范围内的系统。根据 CISA 网络安全执行助理总监 Eric Goldstein 的声明，BugCrowd 和 EnDyna 将对通过共享站点提交的漏洞报告进行初步评估，并将实质性调查结果上报给各自的机构。 Goldstein 写道，国土安全部、劳工部和内政部已经在该网站上举办了 VDP 计划。对于像 Sakura Samurai 成员这样的“白帽”安全研究人员来说，VDP 计划通过创建一个“前门”来消除可能的冲突点，他们可以用它来报告他们发现的问题，而不必担心混淆或法律后果。 Sakura Samurai 的联合创始人约翰杰克逊表示，他的团队将继续在联邦政府 VDP 计划内工作，并“了解这些组织对漏洞报告的反应。”杰克逊也是 Trustwave 公司的高级渗透测试员，他说他希望确保研究人员“能够合法地保持安全并按预期进行披露”。在 Twitter 或 LinkedIn 上关注我。在这里查看我的网站或我的其他一些作品。