En kritisk brist i Delineas Secret Server SOAP API som avslöjades denna vecka skickade säkerhetsteam i kapp för att rulla ut en patch. Men en forskare hävdar att han kontaktade leverantören av privilegierad åtkomsthantering för veckor sedan för att uppmärksamma dem på felet, bara för att få veta att han inte var berättigad att öppna ett ärende.
Delinea först avslöjade SOAP-ändpunktsfelet den 12 april. Nästa dag hade Delinea-teamen rullat ut en automatisk fix för molninstallationer och en nedladdning för lokala hemliga servrar. Men Delinea var inte den första som slog larm.
Sårbarheten, som fortfarande inte har en tilldelad CVE, avslöjades först offentligt av forskaren Johnny Yu, som gav en detaljerad analys av Delinea Secret Server fråga och tillade att han hade försökt kontakta säljaren sedan den 12 februari för att på ett ansvarsfullt sätt avslöja felet. Efter att ha arbetat med CERT Coordination Center vid Carnegie Mellon University och veckor utan svar från Delina, beslutade Yu att släppa sina resultat den 10 februari.
"Jag skickade ett e-postmeddelande till Delinea, och deras svar sa att jag inte är berättigad att öppna ett ärende eftersom jag inte är ansluten till en betalande kund/organisation", skrev Yu.
Efter en tidslinje som visade flera misslyckade försök att kontakta Delinea och en förlängning av avslöjandet som beviljats av CERT, publicerade Yu sin forskning.
Delinea lämnade ett e-postmeddelande om status för begränsningen, men svarade inte på frågor om tidslinjen för avslöjande och svar.
Åtkomstleverantörens tystnad i frågan lämnar öppna frågor om vem som kan skicka in buggar till företaget, under vilka omständigheter de kan skicka in och om det kommer att göras några processförändringar i hur Delinea hanterar avslöjanden i framtiden.
Vuln Volume Struggles inte unika för Delinea
Bristen på kommunikation om svaret signalerar "problem" med Delinas patchprocesser, enligt Callie Guenther, senior chef för hotforskning på Critical Start. Men, förklarar hon, den förkrossande vikten av sårbarhetshantering tar ut sin rätt över hela linjen.
Nyligen sa National Institute of Science and Technology (NIST) att det inte kan längre hålla jämna steg med antalet buggar lämnade in till National Vulnerability Database och bad regeringen, såväl som den privata sektorn, att hjälpa till.
“Detta är inte unikt för Delinea; Teknikföretag möter ofta utmaningar när det gäller att balansera snabb respons med behovet av grundlig testning av patchar”, förklarar Guenther till Dark Reading. "Den här situationen speglar en större trend där komplexiteten och volymen av sårbarheter kan utmana säkerhetsprotokoll."
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
- Källa: https://www.darkreading.com/application-security/delinea-fixes-secret-server-flaw-says-no-data-accessed
