Критическая ошибка в SOAP API секретного сервера Delinea, обнаруженная на этой неделе, заставила команды безопасности срочно выпустить исправление. Но исследователь утверждает, что несколько недель назад он связался с поставщиком услуг по управлению привилегированным доступом, чтобы предупредить их об ошибке, но ему сказали, что он не имеет права открывать дело.
Делинея первая раскрыл уязвимость конечной точки SOAP 12 апреля. На следующий день команды Delinea внедрили автоматическое исправление для облачных развертываний и загрузку для локальных секретных серверов. Но Делинея была не первой, кто поднял тревогу.
Уязвимость, которой до сих пор не присвоен CVE, была впервые публично раскрыта исследователем Джонни Ю, который представил подробный анализ уязвимости. Секретный сервер Делинеи Проблема, добавив, что он пытался связаться с поставщиком с 12 февраля, чтобы ответственно раскрыть недостаток. После работы с Координационным центром CERT в Университете Карнеги-Меллона и нескольких недель отсутствия ответа от Делины Ю решил опубликовать свои выводы 10 февраля.
«Я отправил электронное письмо Делинеа, и в их ответе говорилось, что я не имею права открывать дело, поскольку я не связан с платежеспособным клиентом/организацией», — написал Ю.
После того как график, показывающий несколько неудачных попыток связаться с Делинеей и продление срока раскрытия информации, предоставленного CERT, Ю опубликовал свое исследование.
Делинеа предоставила по электронной почте заявление о статусе смягчения последствий, но не ответила на вопросы о сроках раскрытия информации и ответа.
Молчание поставщика доступа по этому вопросу оставляет открытыми вопросы о том, кто может сообщать компании об ошибках, при каких обстоятельствах они могут сообщать об ошибках и будут ли в будущем внесены какие-либо изменения в процесс управления раскрытием информации Delinea.
Борьба с объемом Vuln не уникальна для Delinea
По словам Кэлли Гюнтер, старшего менеджера по исследованию угроз в Critical Start, отсутствие информации об ответных мерах сигнализирует о «проблемах» с процессами установки исправлений Delina. Но, объясняет она, сокрушительный вес управления уязвимостями дает о себе знать по всем направлениям.
Недавно Национальный институт науки и технологий (NIST) заявил, что больше не может следите за количеством ошибок представили в Национальную базу данных уязвимостей и попросили правительство, а также частный сектор, помочь.
«Это не уникально для Делинеи; Технологические компании часто сталкиваются с трудностями, пытаясь найти баланс между быстрым реагированием и необходимостью тщательного тестирования исправлений», — объясняет Гюнтер изданию Dark Reading. «Эта ситуация отражает более широкую тенденцию, когда сложность и объем уязвимостей могут поставить под угрозу протоколы безопасности».
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/application-security/delinea-fixes-secret-server-flaw-says-no-data-accessed
