Ujawniona w tym tygodniu krytyczna luka w interfejsie API SOAP Secret Server firmy Delinea zmusiła zespoły ds. bezpieczeństwa do szybkiego wdrożenia łatki. Badacz twierdzi jednak, że kilka tygodni temu skontaktował się z dostawcą usług zarządzania dostępem uprzywilejowanym, aby ostrzec go o błędzie, ale dowiedział się, że nie kwalifikuje się do otwarcia sprawy.
Najpierw Delinea ujawniło wadę punktu końcowego protokołu SOAP 12 kwietnia. Następnego dnia zespoły Delinea wdrożyły automatyczną poprawkę dotyczącą wdrożeń w chmurze i pobrali ją dla lokalnych tajnych serwerów. Ale Delinea nie była pierwszą, która podniosła alarm.
Luka, która nadal nie ma przypisanego CVE, została po raz pierwszy publicznie ujawniona przez badacza Johnny'ego Yu, który przedstawił szczegółową analizę Tajny serwer Delinea problem, dodając, że od 12 lutego próbował skontaktować się ze sprzedawcą, aby w sposób odpowiedzialny ujawnić wadę. Po współpracy z Centrum Koordynacyjnym CERT na Uniwersytecie Carnegie Mellon i tygodniach braku odpowiedzi ze strony Deliny, Yu zdecydował się opublikować swoje ustalenia 10 lutego.
„Wysłałem e-mail do firmy Delinea, a w odpowiedzi napisano, że nie kwalifikuję się do otwarcia sprawy, ponieważ nie jestem powiązany z płacącym klientem/organizacją” – napisał Yu.
Po chronologii pokazującej kilka nieudanych prób skontaktowania się z Delineą i przedłużeniu zakresu ujawnień przyznanym przez CERT, Yu opublikował swoje badania.
Firma Delinea przesłała e-mailem oświadczenie dotyczące statusu środków zaradczych, ale nie odpowiedziała na pytania dotyczące harmonogramu ujawnienia informacji i odpowiedzi.
Milczenie dostawcy dostępu w tej kwestii pozostawia otwarte pytania dotyczące tego, kto może zgłaszać błędy firmie, w jakich okolicznościach może je zgłaszać i czy w przyszłości zostaną wprowadzone jakiekolwiek zmiany procesowe w sposobie, w jaki Delinea zarządza ujawnieniami.
Problemy z głośnością Vuln nie są charakterystyczne tylko dla Delinei
Według Callie Guenther, starszej menedżerki ds. badań nad zagrożeniami w Critical Start, brak komunikacji w sprawie odpowiedzi sygnalizuje „problemy” z procesami łatania Deliny. Jednak, jak wyjaśnia, miażdżąca waga zarządzania podatnościami na zagrożenia zbiera żniwo we wszystkich obszarach.
Niedawno Narodowy Instytut Nauki i Technologii (NIST) stwierdził, że nie jest to już możliwe nadążaj za liczbą błędów zgłosiło się do Krajowej Bazy Danych o Podatnościach i zwróciło się do rządu oraz sektora prywatnego o pomoc.
„To nie jest charakterystyczne dla Delinei; Firmy technologiczne często stają przed wyzwaniami, polegającymi na zrównoważeniu szybkiego reagowania z potrzebą dokładnego testowania poprawek” – Guenther wyjaśnia Dark Reading. „Ta sytuacja odzwierciedla szerszy trend, w którym złożoność i liczba luk mogą stanowić wyzwanie dla protokołów bezpieczeństwa”.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://www.darkreading.com/application-security/delinea-fixes-secret-server-flaw-says-no-data-accessed
