Zugriffsmanagement: Kritische Admin-Lücke in Delinea Secret Server geschlossen
(Bild: Artur Szczybylo/Shutterstock.com)
Die Privileged-Access-Management-Lösung (PAM) Secret Server von Delinea ist verwundbar. Ein Sicherheitsupdate ist verfügbar.
Angreifer hätten an einer kritische Sicherheitslücke in der PAM-Lösung Delinea Secret Server ansetzen können. Nach erfolgreichen Attacken hätten sie sich zum Admin hochstufen können. In so einer Position sind in Firmen in der Regel weitreichende Netzwerkzugriffe möglich.
Admin-Lücke
In einem Beitrag führen die Entwickler aus, die Schwachstelle in der On-Premises-Version 11.7.000001 geschlossen zu haben. Alle vorigen Ausgaben seien bedroht. Nutzer der Cloud-Version müssen nichts unternehmen, da Delinea diese bereits serverseitig abgesichert hat.
Für die Lücke wurde bislang keine CVE-Nummer vergeben. Sie betrifft die SOAP-API. Die REST-API sei davon nicht betroffen. Unter anderem aufgrund eines hartcodierten Schlüssels war die Authentifizierung umgehbar. Der Anbieter versichert, dass sie bislang keine Anzeichen für Attacken entdeckt haben.
(des [1])
URL dieses Artikels:
https://www.heise.de/-9686457
Links in diesem Artikel:
[1] mailto:des@heise.de
Copyright © 2024 Heise Medien