Delinea’nın Gizli Sunucu SOAP API’sinde bu hafta açıklanan kritik bir kusur, güvenlik ekiplerinin bir yama yayınlamak için yarışmasına neden oldu. Ancak bir araştırmacı, haftalar önce ayrıcalıklı erişim yönetimi sağlayıcısıyla iletişime geçerek onları bu hata konusunda uyardığını, ancak kendisine dava açmaya uygun olmadığının söylendiğini iddia ediyor.
İlk önce Delinea SOAP uç nokta kusurunu açıkladı Ertesi gün, Delinea ekipleri bulut dağıtımları için otomatik bir düzeltme ve şirket içi Gizli Sunucular için indirme işlemini kullanıma sundu. Ancak alarmı veren ilk kişi Delinea değildi.
Halen atanmış bir CVE’si bulunmayan güvenlik açığı, ilk olarak, güvenlik açığının ayrıntılı bir analizini sunan araştırmacı Johnny Yu tarafından kamuya açıklandı. Delinea Gizli Sunucu Sorunu sorumlu bir şekilde ifşa etmek için 12 Şubat’tan bu yana satıcıyla iletişime geçmeye çalıştığını ekledi. Carnegie Mellon Üniversitesi’ndeki CERT Koordinasyon Merkezi ile çalıştıktan ve Delina’dan haftalarca yanıt alamadıktan sonra Yu, bulgularını 10 Şubat’ta yayınlamaya karar verdi.
Yu, “Delinea’ya bir e-posta gönderdim ve yanıtları, ödeme yapan bir müşteri/kuruluşla bağlantım olmadığı için dava açmaya uygun olmadığımı belirtti” diye yazdı.
Delinea ile temas kurmaya yönelik birkaç başarısız girişimi gösteren bir zaman çizelgesinin ve CERT tarafından verilen açıklamanın uzatılmasının ardından Yu, araştırmasını yayınladı.
Delinea, hafifletme durumu hakkında e-postayla bir açıklama yaptı ancak açıklama ve yanıtın zaman çizelgesiyle ilgili sorulara yanıt vermedi.
Erişim sağlayıcısının konu hakkındaki sessizliği, şirkete kimin hata gönderebileceği, hangi koşullar altında gönderebilecekleri ve gelecekte Delinea’nın açıklamaları yönetme biçiminde herhangi bir süreç değişikliği yapılıp yapılmayacağı konusunda açık sorular bırakıyor.
Vuln Hacim Mücadeleleri Delinea’ya Özgü Değil
Critical Start’ın tehdit araştırması kıdemli yöneticisi Callie Guenther’e göre, yanıtla ilgili iletişim eksikliği Delina’nın yama süreçlerinde “sorun” olduğuna işaret ediyor. Ancak, güvenlik açığı yönetiminin ezici ağırlığının her alanda etkisini gösterdiğini açıklıyor.
Son zamanlarda Ulusal Bilim ve Teknoloji Enstitüsü (NIST) artık bunu yapamayacağını söyledi. hata sayısını takip etmek Ulusal Güvenlik Açığı Veritabanına sunuldu ve hükümetten ve özel sektörden yardım istedi.
Günther, Dark Reading’e şöyle açıklıyor: “Bu, Delinea’ya özgü bir durum değil; teknoloji şirketleri sıklıkla hızlı tepki ile yamaların kapsamlı test edilmesi ihtiyacını dengeleme konusunda zorluklarla karşılaşıyor.” “Bu durum, güvenlik açıklarının karmaşıklığının ve hacminin güvenlik protokollerini zorlayabileceği daha büyük bir eğilimi yansıtıyor.”