Tällä viikolla paljastettu kriittinen virhe Delinean Secret Server SOAP API:ssa sai turvallisuustiimit kilpailemaan päivityksen julkaisemiseksi. Mutta tutkija väittää, että hän otti yhteyttä etuoikeutettuun pääsynhallinnan tarjoajaan viikkoja sitten varoittaakseen heitä virheestä, mutta hänelle kerrottiin, ettei hänellä ollut oikeutta aloittaa tapausta.
Delinea ensin paljasti SOAP-päätepistevirheen 12. huhtikuuta. Seuraavaan päivään mennessä Delinea-tiimit olivat julkaisseet automaattisen korjauksen pilvikäyttöön ja latauksen paikallisia salaisia palvelimia varten. Mutta Delinea ei ollut ensimmäinen, joka herätti hälytyksen.
Haavoittuvuuden, jolle ei vieläkään ole määritetty CVE:tä, paljasti ensimmäisenä tutkija Johnny Yu, joka teki yksityiskohtaisen analyysin Delinea salainen palvelin ongelman ja lisäsi, että hän oli yrittänyt ottaa yhteyttä myyjään helmikuun 12. päivästä lähtien paljastaakseen virheen vastuullisesti. Työskenneltyään Carnegie Mellonin yliopiston CERT-koordinointikeskuksen kanssa eikä Delina ollut vastannut viikkoihin, Yu päätti julkistaa havaintonsa 10. helmikuuta.
"Lähetin sähköpostin Delinealle, ja heidän vastauksessaan todettiin, että en ole oikeutettu aloittamaan tapausta, koska en ole sidoksissa maksavaan asiakkaaseen/organisaatioon", Yu kirjoitti.
Yu julkaisi tutkimuksensa sen jälkeen, kun aikajanalla oli useita epäonnistuneita yrityksiä ottaa yhteyttä Delineaan ja CERT:n myöntämä pidennys.
Delinea antoi sähköpostitse lausunnon lieventämisen tilasta, mutta ei vastannut kysymyksiin paljastamisen ja vastaamisen aikataulusta.
Käyttöoikeustoimittajan vaikeneminen asiasta jättää avoimia kysymyksiä siitä, kuka voi ilmoittaa yritykselle bugeja, missä olosuhteissa he voivat ilmoittaa ja tehdäänkö Delinean tapaan käsitellä ilmoituksia jatkossa prosessimuutoksia.
Vuln Volume Struggles ei ole ainutlaatuinen Delinealle
Critical Startin uhkatutkimuksesta vastaavan vanhemman johtajan Callie Guentherin mukaan vastausviestinnän puute ilmaisee Delinan korjausprosesseissa "ongelmia". Mutta hän selittää, haavoittuvuuksien hallinnan murskaava paino kantaa veronsa kautta linjan.
Äskettäin National Institute of Science and Technology (NIST) sanoi, että se ei voi enää pysyä virheiden määrän mukana toimitettu National Vulnerability Database -tietokantaan ja pyysi hallitusta sekä yksityistä sektoria auttamaan.
"Tämä ei ole ainutlaatuinen Delinealle; teknologiayrityksillä on usein haasteita tasapainottaa nopea reagointi ja korjaustiedostojen perusteellinen testaus”, Guenther selittää Dark Readingille. "Tämä tilanne kuvastaa suurempaa trendiä, jossa haavoittuvuuksien monimutkaisuus ja määrä voivat haastaa suojausprotokollat."
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- Lähde: https://www.darkreading.com/application-security/delinea-fixes-secret-server-flaw-says-no-data-accessed
