O defecțiune critică a API-ului Secret Server SOAP de la Delinea, dezvăluită săptămâna aceasta, a trimis echipele de securitate să se încurce să lanseze un patch. Dar un cercetător susține că a contactat furnizorul de gestionare a accesului privilegiat cu săptămâni în urmă pentru a-i avertiza cu privire la eroare, doar pentru a i se spune că nu este eligibil să deschidă un caz.
Delinea mai întâi a dezvăluit defectul punctului final SOAP pe 12 aprilie. Până a doua zi, echipele Delinea au lansat o remediere automată pentru implementările cloud și o descărcare pentru serverele secrete locale. Dar Delinea nu a fost prima care a tras un semnal de alarmă.
Vulnerabilitatea, care încă nu are un CVE alocat, a fost pentru prima dată dezvăluită public de cercetătorul Johnny Yu, care a oferit o analiză detaliată a Delinea Secret Server problema, adăugând că a încercat să contacteze vânzătorul din 12 februarie pentru a dezvălui în mod responsabil defectul. După ce a lucrat cu Centrul de Coordonare CERT de la Universitatea Carnegie Mellon și săptămâni fără răspuns din partea Delina, Yu a decis să-și dezvăluie constatările pe 10 februarie.
„Am trimis un e-mail către Delinea, iar răspunsul lor a declarat că nu sunt eligibil să deschid un dosar, deoarece nu sunt afiliat cu un client/organizație plătitoare”, a scris Yu.
După o cronologie care arată mai multe încercări eșuate de a contacta Delinea și o extindere a dezvăluirii acordate de CERT, Yu și-a publicat cercetarea.
Delinea a furnizat o declarație prin e-mail despre starea atenuării, dar nu a răspuns întrebărilor despre termenul de dezvăluire și răspuns.
Tăcerea furnizorului de acces cu privire la această problemă lasă întrebări deschise despre cine poate trimite bug-uri companiei, în ce circumstanțe pot trimite și dacă vor fi aduse modificări în procesul modului în care Delinea gestionează dezvăluirile în viitor.
Vuln Volume Struggles nu sunt unice pentru Delinea
Lipsa de comunicare cu privire la răspuns semnalează „probleme” cu procesele de corecție ale Delinei, potrivit Callie Guenther, senior manager de cercetare a amenințărilor la Critical Start. Dar, explică ea, greutatea zdrobitoare a managementului vulnerabilităților își asumă efectele pe toate planurile.
Recent, Institutul Național de Știință și Tehnologie (NIST) a declarat că nu mai poate ține pasul cu numărul de bug-uri a fost depusă la Baza Națională de Date de Vulnerabilitate și a cerut guvernului, precum și sectorului privat să ajute.
„Acest lucru nu este exclusiv pentru Delinea; companiile tehnologice se confruntă adesea cu provocări în echilibrarea răspunsului rapid cu nevoia de testare amănunțită a patch-urilor”, explică Guenther pentru Dark Reading. „Această situație reflectă o tendință mai mare în care complexitatea și volumul vulnerabilităților pot provoca protocoalele de securitate.”
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
- Sursa: https://www.darkreading.com/application-security/delinea-fixes-secret-server-flaw-says-no-data-accessed
