Критическая ошибка в SOAP API секретного сервера Delinea, обнаруженная на этой неделе, заставила команды безопасности срочно выпустить исправление. Но исследователь утверждает, что несколько недель назад он связался с поставщиком услуг по управлению привилегированным доступом, чтобы предупредить их об ошибке, но ему сказали, что он не имеет права открывать дело.
Делинея первая раскрыл уязвимость конечной точки SOAP 12 апреля. На следующий день команды Delinea внедрили автоматическое исправление для облачных развертываний и загрузку для локальных секретных серверов. Но Делинея была не первой, кто поднял тревогу.
Уязвимость, которой до сих пор не присвоен CVE, была впервые публично раскрыта исследователем Джонни Ю, который представил подробный анализ уязвимости. Секретный сервер Делинеи Проблема, добавив, что он пытался связаться с поставщиком с 12 февраля, чтобы ответственно раскрыть недостаток. После работы с Координационным центром CERT в Университете Карнеги-Меллона и нескольких недель отсутствия ответа от Делины Ю решил опубликовать свои выводы 10 февраля.
«Я отправил электронное письмо Делинеа, и в их ответе говорилось, что я не имею права открывать дело, поскольку я не связан с платежеспособным клиентом/организацией», — написал Ю.
После того как график, показывающий несколько неудачных попыток связаться с Делинеей и продление срока раскрытия информации, предоставленного CERT, Ю опубликовал свое исследование.
Делинеа предоставила по электронной почте заявление о статусе смягчения последствий, но не ответила на вопросы о сроках раскрытия информации и ответа.
Молчание поставщика доступа по этому вопросу оставляет открытыми вопросы о том, кто может сообщать компании об ошибках, при каких обстоятельствах они могут сообщать об ошибках и будут ли в будущем внесены какие-либо изменения в процесс управления раскрытием информации Delinea.
Борьба с объемом Vuln не уникальна для Delinea
По словам Кэлли Гюнтер, старшего менеджера по исследованию угроз в Critical Start, отсутствие информации об ответных мерах сигнализирует о «проблемах» с процессами установки исправлений Delina. Но, объясняет она, сокрушительный вес управления уязвимостями дает о себе знать по всем направлениям.
Недавно Национальный институт науки и технологий (NIST) заявил, что больше не может следите за количеством ошибок представили в Национальную базу данных уязвимостей и попросили правительство, а также частный сектор, помочь.
«Это не уникально для Делинеи; Технологические компании часто сталкиваются с трудностями, пытаясь найти баланс между быстрым реагированием и необходимостью тщательного тестирования исправлений», — объясняет Гюнтер изданию Dark Reading. «Эта ситуация отражает более широкую тенденцию, когда сложность и объем уязвимостей могут поставить под угрозу протоколы безопасности».
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/application-security/delinea-fixes-secret-server-flaw-says-no-data-accessed
- :является
- :нет
- :куда
- $UP
- 10
- 12
- 7
- a
- в состоянии
- О нас
- доступ
- По
- через
- добавить
- Аффилированные
- После
- тому назад
- Часы работы
- Оповещение
- am
- an
- анализ
- аналитик
- и
- любой
- API
- апрель
- МЫ
- AS
- назначенный
- At
- попытки
- Автоматический
- Балансировка
- BE
- было
- доска
- Ошибка
- ошибки
- но
- by
- CAN
- Карнеги Меллон
- случаев
- Центр
- вызов
- проблемы
- изменения
- обстоятельства
- требования
- облако
- Связь
- Компании
- Компания
- сложность
- обращайтесь
- координация
- критической
- CVE
- темно
- Темное чтение
- База данных
- день
- решенный
- развертывания
- подробный
- DID
- Раскрывать
- раскрытие
- Безразлично
- скачать
- право
- Конечная точка
- Объясняет
- расширение
- Face
- Oшибка
- фев
- результаты
- First
- фиксированный
- исправления
- недостаток
- Что касается
- от
- будущее
- идет
- Правительство
- предоставленный
- было
- Есть
- he
- помощь
- его
- HTTPS
- i
- in
- Институт
- вопрос
- вопросы
- IT
- ЕГО
- Джонни
- JPG
- Отсутствие
- больше
- дольше
- сделанный
- управление
- менеджер
- управляет
- средний
- Mellon
- смягчение
- национальный
- Необходимость
- следующий
- NIST
- нет
- номер
- of
- .
- on
- только
- открытый
- внешний
- Патчи
- Патчи
- Заделка
- платить
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- частная
- частный сектор
- привилегированный
- процесс
- Процессы
- протоколы
- при условии
- Недвижимости
- что такое варган?
- публично
- опубликованный
- Вопросы
- гоночный
- повышение
- быстро
- Reading
- отражает
- освободить
- исследованиям
- исследователь
- Реагируйте
- ответ
- ответственно
- Катить
- Прокат
- s
- Сказал
- Наука
- Наука и технологии
- Secret
- сектор
- безопасность
- старший
- послать
- сервер
- Серверы
- несколько
- она
- показ
- сигналы
- Молчание
- с
- ситуация
- мыло
- Начало
- заявил
- заявление
- Статус:
- По-прежнему
- Схватки
- отправить
- представленный
- с
- команды
- технологии
- технологические компании
- Технологии
- Тестирование
- который
- Ассоциация
- Будущее
- их
- Их
- Там.
- они
- этой
- На этой неделе
- тщательный
- угроза
- Сроки
- в
- заявил
- тенденция
- пытается
- под
- созданного
- Университет
- продавец
- объем
- Уязвимости
- уязвимость
- законопроект
- был
- Путь..
- неделя
- Недели
- вес
- ЧТО Ж
- Что
- будь то
- который
- КТО
- будете
- работает
- писал
- зефирнет