En kritisk fejl i Delinea's Secret Server SOAP API, der blev afsløret i denne uge, sendte sikkerhedsteams i ræs for at udrulle en patch. Men en forsker hævder, at han kontaktede den privilegerede adgangsstyringsudbyder for uger siden for at advare dem om fejlen, blot for at få at vide, at han ikke var berettiget til at åbne en sag.
Delinea først afslørede SOAP-endepunktsfejlen den 12. april. Næste dag havde Delinea-teams udrullet en automatisk rettelse til cloud-implementeringer og en download til hemmelige servere på stedet. Men Delinea var ikke den første, der slog alarm.
Sårbarheden, som stadig ikke har en tildelt CVE, blev først offentliggjort af forsker Johnny Yu, som leverede en detaljeret analyse af Delinea Secret Server problem og tilføjede, at han havde forsøgt at kontakte sælgeren siden 12. februar for ansvarligt at afsløre fejlen. Efter at have arbejdet med CERT Coordination Center på Carnegie Mellon University og uger uden svar fra Delina, besluttede Yu at offentliggøre sine resultater den 10. februar.
"Jeg sendte en e-mail til Delinea, og deres svar sagde, at jeg ikke er berettiget til at åbne en sag, da jeg ikke er tilknyttet en betalende kunde/organisation," skrev Yu.
Efter en tidslinje, der viser adskillige mislykkede forsøg på at kontakte Delinea og en forlængelse af afsløringen givet af CERT, offentliggjorde Yu sin forskning.
Delinea afgav en e-mail-erklæring om status for afhjælpningen, men svarede ikke på spørgsmål om tidslinjen for offentliggørelse og svar.
Adgangsleverandørens tavshed om spørgsmålet efterlader åbne spørgsmål om, hvem der kan indsende fejl til virksomheden, under hvilke omstændigheder de er i stand til at indsende, og om der vil blive foretaget procesændringer i den måde, Delinea administrerer afsløringer på i fremtiden.
Vuln Volume Struggles ikke unikke for Delinea
Manglen på kommunikation om svaret signalerer "problemer" med Delinas patching-processer, ifølge Callie Guenther, senior manager for trusselsforskning hos Critical Start. Men, forklarer hun, den knusende vægt af sårbarhedshåndtering tager sin vejafgift over hele linjen.
For nylig sagde National Institute of Science and Technology (NIST) at det ikke kan længere holde trit med antallet af fejl indsendt til National Vulnerability Database og bedt regeringen, såvel som den private sektor, om at hjælpe.
“Dette er ikke unikt for Delinea; tech-virksomheder står ofte over for udfordringer med at balancere hurtig reaktion med behovet for grundig test af patches,” forklarer Guenther til Dark Reading. "Denne situation afspejler en større tendens, hvor kompleksiteten og omfanget af sårbarheder kan udfordre sikkerhedsprotokoller."
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://www.darkreading.com/application-security/delinea-fixes-secret-server-flaw-says-no-data-accessed
