Ein kritischer Fehler in der Secret Server SOAP API von Delinea, der diese Woche bekannt wurde, veranlasste Sicherheitsteams dazu, einen Patch bereitzustellen. Ein Forscher behauptet jedoch, er habe den Anbieter von Privileged Access Management vor Wochen kontaktiert, um ihn auf den Fehler aufmerksam zu machen, nur um ihm mitzuteilen, dass er nicht berechtigt sei, einen Fall zu eröffnen.
Delinea zuerst hat den SOAP-Endpunktfehler offengelegt am 12. April. Am nächsten Tag hatten die Delinea-Teams einen automatischen Fix für Cloud-Bereitstellungen und einen Download für lokale Secret Server eingeführt. Doch Delinea war nicht die Erste, die Alarm schlug.
Die Schwachstelle, der noch kein CVE zugeordnet ist, wurde erstmals öffentlich vom Forscher Johnny Yu bekannt gegeben, der eine detaillierte Analyse der Schwachstelle lieferte Delinea Geheimserver Problem und fügte hinzu, dass er seit dem 12. Februar versucht habe, den Verkäufer zu kontaktieren, um den Fehler verantwortungsbewusst offenzulegen. Nachdem er mit dem CERT-Koordinierungszentrum der Carnegie Mellon University zusammengearbeitet hatte und Delina wochenlang keine Antwort erhalten hatte, beschloss Yu, seine Ergebnisse am 10. Februar zu veröffentlichen.
„Ich habe eine E-Mail an Delinea geschickt und in der Antwort hieß es, ich sei nicht berechtigt, einen Fall zu eröffnen, da ich keinem zahlenden Kunden/einer zahlenden Organisation angehöre“, schrieb Yu.
Nach einer Zeitleiste, die mehrere gescheiterte Versuche, Delinea zu kontaktieren, und einer vom CERT gewährten Verlängerung der Offenlegung zeigte, veröffentlichte Yu seine Forschung.
Delinea übermittelte per E-Mail eine Stellungnahme zum Status der Schadensbegrenzung, antwortete jedoch nicht auf Fragen zum Zeitplan für die Offenlegung und Reaktion.
Das Schweigen des Zugangsanbieters zu diesem Thema lässt Fragen offen, wer dem Unternehmen Fehler melden kann, unter welchen Umständen sie dies tun können und ob in Zukunft Prozessänderungen an der Art und Weise vorgenommen werden, wie Delinea Offenlegungen verwaltet.
Vuln-Volumenprobleme gibt es nicht nur bei Delinea
Laut Callie Guenther, Senior Manager für Bedrohungsforschung bei Critical Start, weist die mangelnde Kommunikation über die Reaktion auf „Probleme“ mit Delinas Patching-Prozessen hin. Sie erklärt jedoch, dass die erdrückende Last des Schwachstellenmanagements auf ganzer Linie seinen Tribut fordert.
Kürzlich erklärte das National Institute of Science and Technology (NIST), dass dies nicht mehr möglich sei Bleiben Sie mit der Anzahl der Fehler auf dem Laufenden an die National Vulnerability Database übermittelt und die Regierung sowie den privaten Sektor um Hilfe gebeten.
„Das gibt es nicht nur bei Delinea; Technologieunternehmen stehen oft vor der Herausforderung, eine schnelle Reaktion mit der Notwendigkeit gründlicher Tests von Patches in Einklang zu bringen“, erklärt Günther gegenüber Dark Reading. „Diese Situation spiegelt einen größeren Trend wider, bei dem die Komplexität und das Ausmaß der Schwachstellen eine Herausforderung für Sicherheitsprotokolle darstellen können.“
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
- Quelle: https://www.darkreading.com/application-security/delinea-fixes-secret-server-flaw-says-no-data-accessed
