安全公司等待 12 个月后才报告高危漏洞

Palo Alto Networks 的 GlobalProtect VPN 刚刚修复了一个缓冲溢出的高危漏洞，而安全公司 Randori 是在 12 个月前发现该漏洞，但一直将其作为秘密内部使用，而不是尽快报告给软件供应商。编号为 CVE-2021-3064 的高危漏洞（威胁评分 9.8/10）影响 PAN-OS 8.1.17 之前的版本，已有超过一年历史，但 Randori 根据 Shodan 搜索发现有大约 1 万台联网的企业服务器运行存在漏洞的版本。为何不尽早报告漏洞？Randori 声称该漏洞作为红队的工具用于对客户的网络进行安全测试，表示 0day 漏洞对于客户以及整个网络安全世界的成功是必不可少的。