פגם קריטי ב-Soap API של שרת הסודי של Delinea שנחשף השבוע שלח צוותי אבטחה במירוץ להפעיל תיקון. אבל חוקר טוען שהוא פנה לספק ניהול הגישה המיוחסת לפני שבועות כדי להתריע בפניהם על הבאג, רק כדי שנאמר לו שהוא לא כשיר לפתוח תיק.
דליינה ראשונה חשף את הפגם בנקודת הקצה SOAP ב-12 באפריל. עד למחרת, צוותי Delinea הפיצו תיקון אוטומטי לפריסות ענן והורדה עבור שרתים סודיים מקומיים. אבל דליינה לא הייתה הראשונה שהזעיקה את האזעקה.
הפגיעות, שעדיין אין לה CVE מוקצה, נחשפה לראשונה בפומבי על ידי החוקר ג'וני יו, שסיפק ניתוח מפורט של Delinea Secret Server בעיה, והוסיף כי הוא ניסה ליצור קשר עם הספק מאז 12 בפברואר כדי לחשוף באחריות את הפגם. לאחר שעבד עם מרכז התיאום CERT באוניברסיטת קרנגי מלון ושבועות ללא תגובה מצד דלינה, יו החליט לפרסם את ממצאיו ב-10 בפברואר.
"שלחתי אימייל ל-Delinea, ובתגובה שלהם נכתב שאני לא כשיר לפתוח תיק מכיוון שאני לא קשור ללקוח/ארגון משלם", כתב יו.
לאחר ציר זמן המראה כמה ניסיונות כושלים ליצור קשר עם Delinea והארכה לחשיפה שניתנה על ידי CERT, יו פרסם את המחקר שלו.
Delinea סיפקה הודעה בדוא"ל לגבי מצב ההפחתה, אך לא הגיבה לשאלות לגבי ציר הזמן של החשיפה והתגובה.
שתיקתו של ספק הגישה בנושא משאירה שאלות פתוחות לגבי מי יכול להגיש באגים לחברה, באילו נסיבות הם מסוגלים להגיש, והאם יהיו שינויים כלשהם בתהליך שיבוצעו באופן שבו Delinea מנהלת גילויים בעתיד.
מאבקי נפח וולנים אינם ייחודיים ל-Delinea
חוסר התקשורת לגבי התגובה מסמן "בעיות" בתהליכי התיקון של דלינה, לדברי קאלי גינטר, מנהלת בכירה לחקר איומים ב-Critical Start. אבל, היא מסבירה, המשקל המוחץ של ניהול נקודות תורפה עושה את שלו בכל רחבי הלוח.
לאחרונה, המכון הלאומי למדע וטכנולוגיה (NIST) אמר שהוא לא יכול יותר להתעדכן במספר הבאגים הגישו למאגר הפגיעות הלאומי וביקשו מהממשלה, כמו גם מהמגזר הפרטי, לסייע.
"זה לא ייחודי לדליינה; חברות טכנולוגיה מתמודדות לעתים קרובות עם אתגרים באיזון תגובה מהירה עם הצורך בבדיקה יסודית של תיקונים", מסביר גינת'ר ל-Dark Reading. "מצב זה משקף מגמה גדולה יותר שבה המורכבות ונפח הפגיעות יכולים לערער על פרוטוקולי אבטחה."
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/application-security/delinea-fixes-secret-server-flaw-says-no-data-accessed
- :הוא
- :לֹא
- :איפה
- $ למעלה
- 10
- 12
- 7
- a
- יכול
- אודות
- גישה
- פי
- לרוחב
- מוסיף
- כלולה
- לאחר
- לִפנֵי
- אזעקה
- ערני
- am
- an
- אנליזה
- מנתח
- ו
- כל
- API
- אַפּרִיל
- ARE
- AS
- שהוקצה
- At
- ניסיונות
- מכני עם סלילה אוטומטית
- איזון
- BE
- היה
- לוּחַ
- חרק
- באגים
- אבל
- by
- CAN
- קרנגי מלון
- מקרה
- מרכז
- לאתגר
- האתגרים
- שינויים
- בנסיבות
- טענות
- ענן
- תקשורת
- חברות
- חברה
- מורכבות
- צור קשר
- תאום
- קריטי
- Cve
- כהה
- קריאה אפלה
- מסד נתונים
- יְוֹם
- החליט
- פריסות
- מְפוֹרָט
- DID
- לחשוף
- חשיפה
- לא איכפת
- להורדה
- זכאי
- אמייל
- נקודת קצה
- מסביר
- הארכה
- פָּנִים
- נכשל
- פבואר
- ממצאים
- ראשון
- לסדר
- תיקוני
- פגם
- בעד
- החל מ-
- עתיד
- Goes
- ממשלה
- כמובן מאליו
- היה
- יש
- he
- לעזור
- שֶׁלוֹ
- HTTPS
- i
- in
- מכון
- סוגיה
- בעיות
- IT
- שֶׁלָה
- ג'וני
- jpg
- חוסר
- גדול יותר
- עוד
- עשוי
- ניהול
- מנהל
- מצליח
- בינוני
- מלון
- הֲקָלָה
- לאומי
- צורך
- הבא
- ניסט
- לא
- מספר
- of
- לעתים קרובות
- on
- רק
- לפתוח
- הַחוּצָה
- תיקון
- טלאים
- תיקון
- משלם
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- פְּרָטִי
- המגזר הפרטי
- חסוי
- תהליך
- תהליכים
- פרוטוקולים
- ובלבד
- ספק
- ציבורי
- בפומבי
- לאור
- שאלות
- מירוץ
- להעלות
- מהיר
- קריאה
- משקף
- לשחרר
- מחקר
- חוקר
- להגיב
- תגובה
- באחריות
- גָלִיל
- התגלגל
- s
- אמר
- מדע
- מדע וטכנולוגיה
- סוד
- מגזר
- אבטחה
- לחצני מצוקה לפנסיונרים
- נשלח
- שרת
- שרתים
- כמה
- היא
- הצגה
- אותות
- שתיקה
- since
- מצב
- סבון
- התחלה
- אמור
- הצהרה
- מצב
- עוד
- מאבקים
- להגיש
- הוגש
- נטילת
- צוותי
- טק
- טק
- טכנולוגיה
- בדיקות
- זֶה
- השמיים
- העתיד
- שֶׁלָהֶם
- אותם
- שם.
- הֵם
- זֶה
- השבוע
- יְסוֹדִי
- איום
- ציר זמן
- ל
- אמר לי
- מְגַמָה
- מנסה
- תחת
- ייחודי
- אוניברסיטה
- מוכר
- כֶּרֶך
- פגיעויות
- פגיעות
- היה
- לא היה
- דֶרֶך..
- שבוע
- שבועות
- מִשׁקָל
- טוֹב
- מה
- אם
- אשר
- מי
- יצטרך
- עם
- עובד
- כתב
- זפירנט