Dilinea, производителя на популярния Secret Server, публикуваха пачове за критична уязвимост позволяваща на неоторизирани нападатели да откраднат пароли и тайни (secrets). Уязвимостта е открита от Johnny Yu, който вече е публикувал пълната информация в своя блог: All Your Secrets Are Belong To Us” — A Delinea Secret Server AuthN/AuthZ Bypass
Атаката е възможна благодарение на слабост в логиката на SOAP API интерфейса. Производителя вече е блокирал този endpoint за всички свои клиенти на “облачна услуга”, а за тези с on-prem инсталации се препоръчва да надградят до версия 11.7.000001.
Анализът е съсредоточен върху версия 16.000004 на продукта, която се предлага за локално инсталиране (On-Premises) и е разработена на платформата ASP.NET. Основният проблем, идентифициран от изследователя, е свързан с метода на декриптиране и проверка на валидността на API токените, използвани за достъп до уеб услугите на системата.