Un difetto critico nell'API SOAP del server segreto di Delinea rivelato questa settimana ha spinto i team di sicurezza a correre per implementare una patch. Ma un ricercatore afferma di aver contattato il fornitore di gestione degli accessi privilegiati settimane fa per avvisarlo del bug, solo per sentirsi dire che non era idoneo ad aprire un caso.
Delinea prima ha rivelato il difetto dell'endpoint SOAP il 12 aprile. Il giorno successivo, i team di Delinea avevano implementato una correzione automatica per le distribuzioni cloud e un download per i server segreti locali. Ma Delinea non è stata la prima a lanciare l'allarme.
La vulnerabilità, che non ha ancora un CVE assegnato, è stata resa pubblica per la prima volta dal ricercatore Johnny Yu, che ha fornito un'analisi dettagliata della vulnerabilità. Server segreto di Delinea problema, aggiungendo che stava cercando di contattare il venditore dal 12 febbraio per rivelare in modo responsabile il difetto. Dopo aver lavorato con il Centro di coordinamento CERT della Carnegie Mellon University e dopo settimane senza risposta da parte di Delina, Yu ha deciso di rendere pubblici i suoi risultati il 10 febbraio.
"Ho inviato un'e-mail a Delinea e la loro risposta ha dichiarato che non sono idoneo ad aprire un caso poiché non sono affiliato con un cliente/organizzazione pagante", ha scritto Yu.
Dopo una sequenza temporale che mostra diversi tentativi falliti di contattare Delinea e un'estensione della divulgazione concessa dal CERT, Yu ha pubblicato la sua ricerca.
Delinea ha fornito una dichiarazione via e-mail sullo stato della mitigazione, ma non ha risposto alle domande sulla tempistica della divulgazione e della risposta.
Il silenzio del fornitore di accesso sulla questione lascia aperte le domande su chi può segnalare bug all'azienda, in quali circostanze sono in grado di segnalarli e se verranno apportate modifiche al processo nel modo in cui Delinea gestisce le divulgazioni in futuro.
Problemi di volume Vuln non esclusivi di Delinea
La mancanza di comunicazione sulla risposta segnala "problemi" con i processi di patching di Delina, secondo Callie Guenther, senior manager della ricerca sulle minacce presso Critical Start. Ma, spiega, il peso schiacciante della gestione delle vulnerabilità sta avendo un impatto su tutta la linea.
Recentemente, il National Institute of Science and Technology (NIST) ha affermato che non è più possibile tenere il passo con il numero di bug presentato al National Vulnerability Database e ha chiesto aiuto al governo, così come al settore privato.
“Questo non è una caratteristica esclusiva di Delinea; Le aziende tecnologiche spesso affrontano sfide nel bilanciare una risposta rapida con la necessità di test approfonditi delle patch”, spiega Guenther a Dark Reading. “Questa situazione riflette una tendenza più ampia in cui la complessità e il volume delle vulnerabilità possono mettere alla prova i protocolli di sicurezza”.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/application-security/delinea-fixes-secret-server-flaw-says-no-data-accessed
