Una falla crítica en la API SOAP del servidor secreto de Delinea revelada esta semana hizo que los equipos de seguridad se apresuraran a implementar un parche. Pero un investigador afirma que se puso en contacto con el proveedor de gestión de acceso privilegiado hace semanas para alertarles sobre el error, sólo para decirle que no era elegible para abrir un caso.
delinea primero reveló la falla del punto final SOAP el 12 de abril. Al día siguiente, los equipos de Delinea habían implementado una solución automática para implementaciones en la nube y una descarga para servidores secretos locales. Pero Delinea no fue la primera en dar la alarma.
La vulnerabilidad, que aún no tiene un CVE asignado, fue revelada públicamente por primera vez por el investigador Johnny Yu, quien proporcionó un análisis detallado de la vulnerabilidad. Servidor Secreto Delinea problema, y agregó que había estado tratando de comunicarse con el proveedor desde el 12 de febrero para revelar responsablemente la falla. Después de trabajar con el Centro de Coordinación CERT de la Universidad Carnegie Mellon y semanas sin respuesta de Delina, Yu decidió publicar sus hallazgos el 10 de febrero.
"Envié un correo electrónico a Delinea y su respuesta indicó que no soy elegible para abrir un caso porque no estoy afiliado a ningún cliente/organización que pague", escribió Yu.
Después de una cronología que muestra varios intentos fallidos de contactar a Delinea y una extensión de la divulgación otorgada por el CERT, Yu publicó su investigación.
Delinea proporcionó una declaración por correo electrónico sobre el estado de la mitigación, pero no respondió a las preguntas sobre el cronograma de divulgación y respuesta.
El silencio del proveedor de acceso sobre el tema deja preguntas abiertas sobre quién puede enviar errores a la empresa, bajo qué circunstancias pueden enviarlos y si se realizará algún cambio en el proceso en la forma en que Delinea gestiona las divulgaciones en el futuro.
Las luchas por el volumen de Vuln no son exclusivas de Delinea
La falta de comunicación sobre la respuesta indica "problemas" con los procesos de parcheo de Delina, según Callie Guenther, gerente senior de investigación de amenazas en Critical Start. Pero, explica, el peso aplastante de la gestión de vulnerabilidades está pasando factura en todos los ámbitos.
Recientemente, el Instituto Nacional de Ciencia y Tecnología (NIST) dijo que ya no puede mantenerse al día con la cantidad de errores presentado a la Base de Datos Nacional de Vulnerabilidad y pidió ayuda al gobierno, así como al sector privado.
“Esto no es exclusivo de Delinea; Las empresas de tecnología a menudo enfrentan desafíos a la hora de equilibrar una respuesta rápida con la necesidad de realizar pruebas exhaustivas de los parches”, explica Guenther a Dark Reading. "Esta situación refleja una tendencia más amplia en la que la complejidad y el volumen de vulnerabilidades pueden desafiar los protocolos de seguridad".
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.darkreading.com/application-security/delinea-fixes-secret-server-flaw-says-no-data-accessed
