Şirket içi Delinea Secret Server kurulumuna sahip kuruluşlardan, saldırganların kimlik doğrulamayı atlamasına, yönetici erişimi elde etmesine ve sırları çıkarmasına olanak tanıyabilecek kritik bir güvenlik açığını ortadan kaldırmak için bunları derhal güncellemesi isteniyor.
Delinea Secret Server SOAP API güvenlik açığını düzeltme
Delinea Secret Server (eski adıyla Thycotic Secret Server), “modern, hibrit kuruluşlara yönelik” ayrıcalıklı bir erişim yönetimi (PAM) çözümüdür. PAM çözümleri, diğer özelliklerinin yanı sıra, ayrıcalıklı hesapların sağlanmasını ve yetkilerinin kaldırılmasını otomatikleştirebildiği gibi güvenli uzaktan erişimi de sağlayabilir.
Delinea, Hizmet Durumu sayfasında 12 Nisan Cuma günü bir güvenlik endişesini/olayını araştırdığını duyurdu.
Cumartesi günü şirket, Secret Server SOAP API’sindeki güvenlik açığının farkında olduklarını ve Secret Server Cloud müşterileri için SOAP uç noktalarını bulut hizmetini yamalayana kadar engelleyerek durumla ilgilendiklerini açıkladı ve bunu da aynı gün yaptılar. .
Şirket, “Mühendislik ve Güvenlik ekiplerimiz, kiracı verilerinin ele geçirildiğine dair herhangi bir kanıt bulmak için araştırmalarını tamamladı ve şu anda herhangi bir müşterinin verilerinin ele geçirildiğine dair hiçbir kanıt bulamadık ve güvenlik açığından yararlanmaya yönelik herhangi bir girişimde bulunulmadı” diye ekledi.
Pazar günü Delinea, kusuru gideren Şirket İçi Gizli Sunucuyu (Sürüm 11.7.000001) yayınladı ve test tamamlanır tamamlanmaz önceki sürümler için yama sözü verdi.
Şirket ayrıca çözümün şirket içi sürümlerini kullanan müşterilerin, güvenlik açığından saldırganlar tarafından yararlanılıp yararlanılmadığını kontrol etmek için kullanabileceği bir kılavuz da yayınladı.
Savunmasız hizmete/uç noktaya erişilip erişilmediğini ve özellikle de bu kullanıcı olarak hiç oturum açmamış ve sırların alınmasıyla sonuçlanan bir IP adresinden erişilip erişilmediğini gösterecek özel Gizli Sunucu raporları oluşturmaya yönelik sorguları içerir.
“Web hizmetleri üzerinden herhangi bir erişim, bir denetim kaydıyla sonuçlanacaktır. Lütfen alışılmadık denetim geçmişi veya kalıplarına sahip sırları araştırın: herhangi bir Gizli Sunucu kullanıcısının eski Gizli Sunucu mobil uygulamasını kullanıp kullanmadığını doğrulayın ve IP adresini, erişim zamanını ve denetim kaydında kayıtlı sırlara erişen kullanıcıları araştırın,” diye tavsiyede bulundu Delinea.
Güvenlik açığı bilgileri ve PoC istismarı herkese açıktır
Güvenlik araştırmacısı Kevin Beaumont, Delinea’nın Gizli Sunucu Bulutunun Cuma günkü geçici olarak kullanılamamasının, güvenlik mühendisi Johnny Yu tarafından 10 Nisan Çarşamba günü yayınlanan bir blog gönderisinden kaynaklandığını söyledi.
Yu şunları özetledi:
- Secret Server uygulamasına yönelik araştırması ve güvenlik açığını keşfetmesi
- Saldırganların yönetici erişimi elde etmesine ve saklanan sırları ele geçirmesine olanak tanıyan bir “Altın” token oluşturmaya yönelik bir PoC istismarı
- Delinea’nın sorunu kabul etmesini ve çözmesini sağlama çabaları
Ne yazık ki, eylemi tetiklemek için güvenlik açığı hakkında bilgi yayınlaması gerekti.