A távoli kódfuttatás sebezhetőségét fokozó jogosultságot fedeztek fel a SoftNAS Incorporated felhőalapú adatkezelési platformján, amint azt egy biztonsági közlemény maga a társaság adta ki. A biztonsági rés megtalálható a webes adminisztrációs konzolban, amely lehetővé teszi a rosszindulatú hackerek számára, hogy tetszőleges kódot futtassanak root jogosultságokkal, megkerülve az engedélyezés szükségességét. A probléma különösen az snserv végpont-szkriptben mutatkozik be az ilyen feladatok ellenőrzéséért és végrehajtásáért felelős platformon belül. A sebezhetőséget a címke kiosztotta CVE-2018-14417 .
A CoreSecurity SDI Corporation SoftNAS Cloud egy vállalati hálózattal ösztönzött adattároló rendszer, amely felhőtámogatást nyújt a legnagyobb szállítók, például az Amazon Web Services és a Microsoft Azure számára, miközben lenyűgöző ügyfelek portfólióját tartja fenn, mint például a Netflix Inc., a Samsung Electronics Co . Ltd., a Toyota Motor Co., a Coca-Cola Co. és a Boeing Co. A tárolási szolgáltatás támogatja az NFS, CIFS / SMB, iSCSI és AFP fájlprotokollokat, és a legátfogóbb és legellenőrzöttebb vállalati tárolási és adatszolgáltatást teszi lehetővé. megoldás ilyen módon. Ez a biztonsági rés azonban megemeli a felhasználói engedélyeket, hogy egy távoli hacker kártékony parancsokat hajthasson végre a célkiszolgálón. Mivel a végpontban nincs beállítva hitelesítési mechanizmus, és az snserv parancsfájl nem fertőtleníti a bemenetet a művelet végrehajtása előtt, a hacker munkamenet-ellenőrzés nélkül is képes végigkövetni. Mivel a webszerver egy Sudoer felhasználón működik, a hacker gyökérengedélyeket és teljes hozzáférést szerezhet bármilyen rosszindulatú kód futtatásához. Ez a biztonsági rés lokálisan és távolról is kihasználható, és a kihasználás kritikus kockázatának minősül.
Erre a sebezhetőségre májusban hívták fel a CoreSecurity SDI Corporation figyelmét, és azóta a biztonsági cég honlapján közzétett tanácsadóban foglalkoztak vele. A SoftNAS frissítése is megjelent. A felhasználókat arra kérjük, hogy frissítsék rendszereiket erre a legújabb verzióra: 4.0.3, hogy enyhítsék az engedély nélküli rosszindulatú kód-injektálási támadások következményeit.
