„SoftNAS Incorporated“ debesies duomenų valdymo platformoje buvo aptikta nuotolinio kodo vykdymo pažeidžiamumą padidinanti privilegija, kaip aprašyta saugumo biuletenis išleido pati įmonė. Pažeidžiamumas yra žiniatinklio administravimo pulte, leidžiantis kenkėjams įsilaužėliams vykdyti savavališką kodą su root leidimais, apeinant autorizacijos poreikį. Ši problema ypač pasireiškia platformos snserv scenarijuje, atsakingame už tokių užduočių patikrinimą ir vykdymą. Pažeidžiamumas buvo pažymėtas etikete CVE-2018-14417 .
„CoreSecurity SDI Corporation“ „SoftNAS Cloud“ yra įmonei pritaikyta tinklo stimuliuojama duomenų saugojimo sistema, teikianti debesų palaikymą kai kuriems didžiausiems tiekėjams, tokiems kaip „Amazon Web Services“ ir „Microsoft Azure“, išlaikant įspūdingą klientų, tokių kaip „Netflix Inc.“, „Samsung Electronics Co“, portfelį. . Ltd., „Toyota Motor Co.“, „Coca-Cola Co“ ir „Boeing Co“. Saugyklos paslauga palaiko NFS, CIFS / SMB, iSCSI ir AFP failų protokolus ir užtikrina kruopščiausią ir kontroliuojamiausią įmonės saugojimo ir duomenų tarnybą. tokiu būdu. Tačiau šis pažeidžiamumas padidina vartotojo teises, kad nuotolinis įsilaužėlis galėtų vykdyti kenkėjiškas komandas tiksliniame serveryje. Kadangi galutiniame taške nėra nustatytas autentifikavimo mechanizmas, o „snserv“ scenarijus neapdoroja įvesties prieš atlikdamas operaciją, įsilaužėlis gali atlikti veiksmus be jokio seanso patikrinimo. Kadangi žiniatinklio serveris veikia „Sudoer“ vartotojui, įsilaužėlis gali gauti root teises ir visišką prieigą vykdyti bet kokį kenkėjišką kodą. Šis pažeidžiamumas gali būti naudojamas tiek lokaliai, tiek nuotoliniu būdu ir yra klasifikuojamas esant kritinei išnaudojimo rizikai.
Šis pažeidžiamumas buvo atkreiptas į „CoreSecurity SDI Corporation“ dėmesį gegužę ir nuo to laiko buvo aptartas saugos firmos svetainėje paskelbtame patarime. Taip pat išleistas „SoftNAS“ atnaujinimas. Vartotojų prašoma atnaujinti savo sistemas į šią naujausią versiją: 4.0.3, siekiant sušvelninti neteisėtos kenkėjiškų kodų įpurškimo pasekmes.
