Zugriffsmanagement: Kritische Admin-Lücke in Delinea Secret Server geschlossen
Die Privileged-Access-Management-Lösung (PAM) Secret Server von Delinea ist verwundbar. Ein Sicherheitsupdate ist verfügbar.
![](https://heise.cloudimg.io/width/610/q85.png-lossy-85.webp-lossy-85.foil1/_www-heise-de_/imgs/18/4/5/7/3/3/3/5/shutterstock_1492712420-f534a20b5fa2eb15.jpeg)
(Bild: Artur Szczybylo/Shutterstock.com)
Angreifer hätten an einer kritische Sicherheitslücke in der PAM-Lösung Delinea Secret Server ansetzen können. Nach erfolgreichen Attacken hätten sie sich zum Admin hochstufen können. In so einer Position sind in Firmen in der Regel weitreichende Netzwerkzugriffe möglich.
Admin-Lücke
In einem Beitrag führen die Entwickler aus, die Schwachstelle in der On-Premises-Version 11.7.000001 geschlossen zu haben. Alle vorigen Ausgaben seien bedroht. Nutzer der Cloud-Version müssen nichts unternehmen, da Delinea diese bereits serverseitig abgesichert hat.
Für die Lücke wurde bislang keine CVE-Nummer vergeben. Sie betrifft die SOAP-API. Die REST-API sei davon nicht betroffen. Unter anderem aufgrund eines hartcodierten Schlüssels war die Authentifizierung umgehbar. Der Anbieter versichert, dass sie bislang keine Anzeichen für Attacken entdeckt haben.
(des)