Uma falha crítica na API SOAP do Secret Server da Delinea, divulgada esta semana, fez com que as equipes de segurança corressem para lançar um patch. Mas um pesquisador afirma que entrou em contato com o provedor de gerenciamento de acesso privilegiado semanas atrás para alertá-lo sobre o bug, apenas para ser informado de que não era elegível para abrir um caso.
Delinea primeiro divulgou a falha do endpoint SOAP em 12 de abril. No dia seguinte, as equipes da Delinea lançaram uma correção automática para implantações em nuvem e um download para servidores secretos locais. Mas Delinea não foi a primeira a dar o alarme.
A vulnerabilidade, que ainda não possui um CVE atribuído, foi divulgada publicamente pela primeira vez pelo pesquisador Johnny Yu, que forneceu uma análise detalhada do Servidor Secreto Delinea problema, acrescentando que ele estava tentando entrar em contato com o fornecedor desde 12 de fevereiro para divulgar a falha de forma responsável. Depois de trabalhar com o Centro de Coordenação CERT da Universidade Carnegie Mellon e semanas sem resposta de Delina, Yu decidiu divulgar suas descobertas em 10 de fevereiro.
“Enviei um e-mail para Delinea e a resposta deles afirmou que não sou elegível para abrir um caso, pois não sou afiliado a um cliente/organização pagante”, escreveu Yu.
Após um cronograma mostrando várias tentativas fracassadas de contato com Delinea e uma extensão da divulgação concedida pelo CERT, Yu publicou sua pesquisa.
Delinea forneceu uma declaração por e-mail sobre o status da mitigação, mas não respondeu às perguntas sobre o cronograma de divulgação e resposta.
O silêncio do fornecedor de acesso sobre o assunto deixa em aberto questões sobre quem pode enviar bugs à empresa, em que circunstâncias eles podem enviá-los e se haverá alguma alteração no processo na forma como a Delinea gerencia as divulgações no futuro.
Lutas de volume Vuln não são exclusivas de Delinea
A falta de comunicação sobre a resposta sinaliza “problemas” nos processos de correção da Delina, de acordo com Callie Guenther, gerente sênior de pesquisa de ameaças da Critical Start. Mas, explica ela, o peso esmagador do gerenciamento de vulnerabilidades está cobrando seu preço em todos os níveis.
Recentemente, o Instituto Nacional de Ciência e Tecnologia (NIST) disse que não pode mais acompanhe o número de bugs submetido ao Banco de Dados Nacional de Vulnerabilidade e pediu ajuda ao governo, bem como ao setor privado.
“Isso não é exclusivo de Delinea; as empresas de tecnologia muitas vezes enfrentam desafios para equilibrar a resposta rápida com a necessidade de testes completos de patches”, explica Guenther à Dark Reading. “Esta situação reflete uma tendência maior em que a complexidade e o volume de vulnerabilidades podem desafiar os protocolos de segurança.”
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://www.darkreading.com/application-security/delinea-fixes-secret-server-flaw-says-no-data-accessed
