Виявлена цього тижня критична помилка в SOAP API секретного сервера Delinea призвела до того, що команди безпеки поспішали розгорнути виправлення. Але дослідник стверджує, що кілька тижнів тому зв’язався з постачальником привілейованого доступу, щоб попередити їх про помилку, але йому сказали, що він не має права відкривати справу.
Делінея перша розкрив недолік кінцевої точки SOAP 12 квітня. Наступного дня команди Delinea розгорнули автоматичне виправлення для хмарних розгортань і завантаження для локальних секретних серверів. Але Делінея не була першою, хто підняв тривогу.
Уразливість, якій досі не призначено CVE, була вперше оприлюднена дослідником Джонні Ю, який надав детальний аналіз Секретний сервер Delinea проблема, додавши, що він намагався зв’язатися з постачальником з 12 лютого, щоб відповідально розкрити недолік. Після роботи з Координаційним центром CERT в Університеті Карнегі-Меллона та тижнями відсутності відповіді від Деліни Ю вирішив опублікувати свої висновки 10 лютого.
«Я надіслав електронний лист Delinea, і в їхній відповіді було зазначено, що я не маю права відкривати справу, оскільки я не пов’язаний із клієнтом/організацією, яка платить», — написав Ю.
Після хронології кількох невдалих спроб зв’язатися з Делінеєю та продовження розкриття інформації, наданого CERT, Ю опублікував своє дослідження.
Delinea надала електронною поштою заяву про статус пом’якшення, але не відповіла на запитання щодо термінів розкриття інформації та відповіді.
Мовчання постачальника доступу щодо цієї проблеми залишає відкритими питання про те, хто може повідомляти компанії про помилки, за яких обставин вони можуть надсилати повідомлення та чи будуть внесені будь-які зміни в процес, яким Delinea керує розкриттям інформації в майбутньому.
Боротьба з обсягом Vuln не є унікальною для Delinea
За словами Каллі Ґюнтер, старшого менеджера з дослідження загроз у Critical Start, брак інформації про реагування сигналізує про «проблеми» з процесами виправлення Delina. Але, пояснює вона, нищівна вага управління вразливістю бере своє в усіх сферах.
Нещодавно Національний інститут науки і технологій (NIST) заявив, що більше не може не відставати від кількості помилок подали до Національної бази даних про вразливість і попросили допомогти уряд, а також приватний сектор.
«Це властиво не тільки Делінеї; Технологічні компанії часто стикаються з труднощами в балансі між швидким реагуванням і необхідністю ретельного тестування патчів», — пояснює Гюнтер Dark Reading. «Ця ситуація відображає ширшу тенденцію, коли складність і кількість вразливостей можуть кинути виклик протоколам безпеки».
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/application-security/delinea-fixes-secret-server-flaw-says-no-data-accessed
