이번 주에 공개된 Delinea의 Secret Server SOAP API에 있는 심각한 결함으로 인해 보안 팀은 패치 출시를 위해 경쟁을 벌였습니다. 그러나 한 연구원은 몇 주 전에 권한 있는 액세스 관리 제공업체에 연락하여 버그에 대해 경고했지만 사례를 열 자격이 없다는 말만 들었다고 주장했습니다.
Delinea 먼저 SOAP 엔드포인트 결함 공개 다음날 Delinea 팀은 클라우드 배포를 위한 자동 수정 기능과 온프레미스 Secret Server용 다운로드 기능을 출시했습니다. 그러나 Delinea가 처음으로 경보를 울린 것은 아니었습니다.
아직 할당된 CVE가 없는 이 취약점은 연구원 Johnny Yu에 의해 처음 공개되었습니다. Delinea 비밀 서버 그는 이 문제를 책임감 있게 공개하기 위해 12월 10일부터 공급업체에 연락을 시도했다고 덧붙였습니다. Carnegie Mellon University의 CERT Coordination Center에서 일한 후 몇 주 동안 Delina로부터 아무런 응답도 받지 못한 Yu는 자신의 연구 결과를 XNUMX월 XNUMX일에 발표하기로 결정했습니다.
Yu는 “Delinea에게 이메일을 보냈고 그 답변은 내가 유료 고객/조직과 관련이 없기 때문에 케이스를 열 자격이 없다는 것이었습니다.”라고 썼습니다.
Delinea와의 접촉 시도가 여러 번 실패하고 CERT가 승인한 공개 기간이 연장된 후 Yu는 자신의 연구 결과를 발표했습니다.
Delinea는 완화 상태에 대한 이메일 성명을 제공했지만 공개 및 대응 일정에 대한 질문에는 응답하지 않았습니다.
이 문제에 대한 액세스 공급업체의 침묵으로 인해 누가 회사에 버그를 제출할 수 있는지, 어떤 상황에서 제출할 수 있는지, 향후 Delinea가 공개를 관리하는 방식에 프로세스 변경이 있을 것인지에 대한 의문이 제기됩니다.
취약한 볼륨 문제는 Delinea에만 있는 것이 아닙니다.
Critical Start의 위협 연구 수석 관리자인 Callie Guenther에 따르면 대응에 대한 의사소통 부족은 Delina의 패치 프로세스에 "문제"가 있다는 신호입니다. 그러나 그녀는 취약성 관리의 엄청난 무게가 전반적으로 큰 타격을 주고 있다고 설명합니다.
최근 국립과학기술원(NIST)은 더 이상 할 수 없다고 밝혔다. 버그 수를 따라잡다 국가 취약점 데이터베이스(National Vulnerability Database)에 제출하고 정부와 민간 부문에 도움을 요청했습니다.
“이것은 Delinea에만 국한된 것이 아닙니다. 기술 기업은 신속한 대응과 철저한 패치 테스트의 균형을 맞추는 데 어려움을 겪는 경우가 많습니다.”라고 Guenther는 Dark Reading에 설명합니다. "이 상황은 취약점의 복잡성과 규모가 보안 프로토콜에 문제를 일으킬 수 있는 더 큰 추세를 반영합니다."
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/application-security/delinea-fixes-secret-server-flaw-says-no-data-accessed
