تم الكشف هذا الأسبوع عن خلل خطير في واجهة Delinea's Secret Server SOAP API، مما دفع فرق الأمان إلى الإسراع في طرح التصحيح. لكن أحد الباحثين يدعي أنه اتصل بمزود إدارة الوصول المميز منذ أسابيع لتنبيههم بالخلل، فقط ليتم إخباره بأنه غير مؤهل لفتح قضية.
ديلينيا أولا الكشف عن خلل نقطة نهاية SOAP في 12 أبريل. وبحلول اليوم التالي، كانت فرق Delinea قد طرحت إصلاحًا تلقائيًا لعمليات النشر السحابية وتنزيلًا للخوادم السرية المحلية. لكن ديلينيا لم تكن أول من أطلق ناقوس الخطر.
تم الكشف عن الثغرة الأمنية، التي لا يوجد بها حتى الآن CVE معين، لأول مرة من قبل الباحث جوني يو، الذي قدم تحليلاً مفصلاً للثغرة الأمنية. خادم ديلينيا السري وأضاف أنه كان يحاول الاتصال بالبائع منذ 12 فبراير للكشف بشكل مسؤول عن الخلل. بعد العمل مع مركز تنسيق CERT في جامعة كارنيجي ميلون وعدم الاستجابة لأسابيع من ديلينا، قرر يو نشر النتائج التي توصل إليها في 10 فبراير.
كتب يو: "لقد أرسلت بريدًا إلكترونيًا إلى Delinea، وذكر ردهم أنني غير مؤهل لفتح قضية لأنني لست تابعًا لعميل/مؤسسة تدفع".
بعد جدول زمني يوضح عدة محاولات فاشلة للاتصال بـ Delinea وامتدادًا للإفصاح الذي منحه CERT، نشر يو بحثه.
قدمت Delinea بيانًا عبر البريد الإلكتروني حول حالة التخفيف، لكنها لم ترد على الأسئلة المتعلقة بالجدول الزمني للإفصاح والرد.
إن صمت بائع الوصول بشأن هذه المشكلة يترك أسئلة مفتوحة حول من يمكنه إرسال الأخطاء إلى الشركة، وتحت أي ظروف يمكنهم إرسالها، وما إذا كان سيتم إجراء أي تغييرات في العملية على الطريقة التي تدير بها Delinea عمليات الإفصاح في المستقبل.
نضالات حجم Vuln ليست فريدة من نوعها بالنسبة لـ Delinea
يشير عدم وجود اتصال حول الاستجابة إلى وجود "مشكلات" في عمليات التصحيح الخاصة بـ Delina، وفقًا لكالي جونثر، المدير الأول لأبحاث التهديدات في Critical Start. لكنها توضح أن العبء الساحق لإدارة الثغرات الأمنية يؤثر سلبًا على جميع المجالات.
ومؤخرًا، قال المعهد الوطني للعلوم والتكنولوجيا (NIST) إنه لم يعد بإمكانه ذلك مواكبة عدد من الأخطاء قدمت إلى قاعدة بيانات الضعف الوطنية وطلبت المساعدة من الحكومة، وكذلك القطاع الخاص.
"هذا ليس فريدًا بالنسبة إلى Delinea؛ غالبًا ما تواجه شركات التكنولوجيا تحديات في تحقيق التوازن بين الاستجابة السريعة والحاجة إلى اختبار شامل للتصحيحات،" يوضح غونتر لـ Dark Reading. "يعكس هذا الوضع اتجاهًا أكبر حيث يمكن لتعقيد وحجم نقاط الضعف أن يشكل تحديًا للبروتوكولات الأمنية."
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/application-security/delinea-fixes-secret-server-flaw-says-no-data-accessed
