En kritisk feil i Delineas Secret Server SOAP API som ble avslørt denne uken sendte sikkerhetsteam i kapp for å rulle ut en oppdatering. Men en forsker hevder at han kontaktet leverandøren av privilegert tilgangsadministrasjon for uker siden for å varsle dem om feilen, bare for å bli fortalt at han ikke var kvalifisert til å åpne en sak.
Delinea først avslørte SOAP-endepunktfeilen den 12. april. Neste dag hadde Delinea-teamene rullet ut en automatisk løsning for skydistribusjoner og en nedlasting for lokale hemmelige servere. Men Delinea var ikke den første som slo alarm.
Sårbarheten, som fortsatt ikke har en tildelt CVE, ble først offentliggjort av forskeren Johnny Yu, som ga en detaljert analyse av Delinea Secret Server problemet, og la til at han hadde prøvd å kontakte leverandøren siden 12. februar for å avsløre feilen på en ansvarlig måte. Etter å ha jobbet med CERT Coordination Center ved Carnegie Mellon University og flere uker uten svar fra Delina, bestemte Yu seg for å frigi funnene sine 10. februar.
"Jeg sendte en e-post til Delinea, og svaret deres sa at jeg ikke er kvalifisert til å åpne en sak siden jeg ikke er tilknyttet en betalende kunde/organisasjon," skrev Yu.
Etter en tidslinje som viser flere mislykkede forsøk på å kontakte Delinea og en utvidelse av avsløringen gitt av CERT, publiserte Yu sin forskning.
Delinea ga en e-postmelding om statusen til avbøtningen, men svarte ikke på spørsmål om tidslinjen for avsløring og svar.
Tilgangsleverandørens taushet om problemet etterlater åpne spørsmål om hvem som kan sende inn feil til selskapet, under hvilke omstendigheter de kan sende inn, og om det vil bli gjort noen prosessendringer i måten Delinea håndterer avsløringer på i fremtiden.
Vuln Volume Struggles ikke unik for Delinea
Mangelen på kommunikasjon om responsen signaliserer "problemer" med Delinas oppdateringsprosesser, ifølge Callie Guenther, seniorleder for trusselforskning ved Critical Start. Men, forklarer hun, den knusende vekten av sårbarhetshåndtering tar sin toll over hele linja.
Nylig sa National Institute of Science and Technology (NIST) at det ikke kan lenger holde tritt med antall feil sendt til National Vulnerability Database og bedt myndighetene, så vel som privat sektor, om å hjelpe.
«Dette er ikke unikt for Delinea; Teknologiselskaper møter ofte utfordringer med å balansere rask respons med behovet for grundig testing av patcher,” forklarer Guenther til Dark Reading. "Denne situasjonen reflekterer en større trend der kompleksiteten og volumet av sårbarheter kan utfordre sikkerhetsprotokoller."
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.darkreading.com/application-security/delinea-fixes-secret-server-flaw-says-no-data-accessed
