Une faille critique dans l'API SOAP du serveur secret de Delinea, révélée cette semaine, a poussé les équipes de sécurité à se précipiter pour déployer un correctif. Mais un chercheur affirme avoir contacté le fournisseur de gestion des accès privilégiés il y a quelques semaines pour l'alerter du bug, pour ensuite se faire dire qu'il n'était pas éligible pour ouvrir un dossier.
Délinea en premier a révélé la faille du point de terminaison SOAP le 12 avril. Le lendemain, les équipes de Delinea avaient déployé un correctif automatique pour les déploiements cloud et un téléchargement pour les serveurs secrets sur site. Mais Delinea n’a pas été la première à tirer la sonnette d’alarme.
La vulnérabilité, pour laquelle aucun CVE n'a encore été attribué, a été révélée publiquement pour la première fois par le chercheur Johnny Yu, qui a fourni une analyse détaillée de la vulnérabilité. Serveur secret Delinea problème, ajoutant qu'il essayait de contacter le fournisseur depuis le 12 février pour divulguer la faille de manière responsable. Après avoir travaillé avec le centre de coordination du CERT de l'université Carnegie Mellon et des semaines sans réponse de Delina, Yu a décidé de publier ses conclusions le 10 février.
"J'ai envoyé un e-mail à Delinea et leur réponse indiquait que je ne suis pas éligible pour ouvrir un dossier puisque je ne suis pas affilié à un client/organisation payant", a écrit Yu.
Après une chronologie montrant plusieurs tentatives infructueuses pour contacter Delinea et une prolongation de la divulgation accordée par le CERT, Yu a publié ses recherches.
Delinea a fourni une déclaration par courrier électronique sur l'état de l'atténuation, mais n'a pas répondu aux questions sur le calendrier de divulgation et de réponse.
Le silence du fournisseur d'accès sur la question laisse ouvertes la question de savoir qui peut soumettre des bogues à l'entreprise, dans quelles circonstances ils peuvent le faire et si des changements de processus seront apportés à la manière dont Delinea gère les divulgations à l'avenir.
Les difficultés liées au volume de vulnérabilité ne sont pas propres à Delinea
Le manque de communication sur la réponse signale des « problèmes » avec les processus de mise à jour de Delina, selon Callie Guenther, responsable principale de la recherche sur les menaces chez Critical Start. Mais, explique-t-elle, le poids écrasant de la gestion des vulnérabilités a des conséquences néfastes à tous les niveaux.
Récemment, l'Institut national des sciences et technologies (NIST) a déclaré qu'il ne pouvait plus suivre le nombre de bugs soumis à la base de données nationale sur la vulnérabilité et a demandé au gouvernement, ainsi qu’au secteur privé, de l’aider.
« Ce n’est pas unique à Delinea ; les entreprises technologiques sont souvent confrontées à des difficultés pour trouver un équilibre entre une réponse rapide et la nécessité de tester minutieusement les correctifs », explique Guenther à Dark Reading. « Cette situation reflète une tendance plus large selon laquelle la complexité et le volume des vulnérabilités peuvent remettre en question les protocoles de sécurité. »
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.darkreading.com/application-security/delinea-fixes-secret-server-flaw-says-no-data-accessed
