SoftNAS Incorporated'ın bulut veri yönetimi platformunda uzaktan kod yürütme güvenlik açığını yükselten bir ayrıcalık keşfedildi. güvenlik bülteni şirketin kendisi tarafından yayınlandı. Güvenlik açığının, kötü niyetli bilgisayar korsanlarının yetkilendirme ihtiyacını atlayarak kök izinleriyle rastgele kod yürütmesine olanak tanıyan web yönetim konsolunda bulunduğu bulundu. Sorun, özellikle bu tür görevlerin doğrulanması ve yürütülmesinden sorumlu platform içindeki uç nokta snserv betiğinde kendini göstermektedir. Güvenlik açığı, etiket olarak tahsis edildi CVE-2018-14417 .
CoreSecurity SDI Corporation'ın SoftNAS Cloud'u, Amazon Web Services ve Microsoft Azure gibi en büyük satıcılardan bazılarına bulut desteği sağlarken Netflix Inc., Samsung Electronics Co gibi etkileyici bir müşteri portföyünü koruyan, kurumsal dişli ağ destekli bir veri depolama sistemidir. Ltd., Toyota Motor Co., The Coca-Cola Co. ve The Boeing Co. Depolama hizmeti NFS, CIFS / SMB, iSCSI ve AFP dosya protokollerini destekler ve en kapsamlı ve kontrollü kurumsal depolama ve veri hizmetini sağlar bu şekilde çözüm. Ancak bu güvenlik açığı, uzak bir bilgisayar korsanının hedef sunucuda kötü amaçlı komutlar yürütmesine izin vermek için kullanıcı izinlerini yükseltir. Uç noktada herhangi bir kimlik doğrulama mekanizması kurulmadığından ve snserv betiği işlemi gerçekleştirmeden önce girdiyi temizlemediğinden, bilgisayar korsanı herhangi bir oturum doğrulamasına ihtiyaç duymadan takip edebilir. Web sunucusu bir Sudoer kullanıcısı üzerinde çalıştığından, bilgisayar korsanı herhangi bir kötü amaçlı kodu yürütmek için kök izinleri ve tam erişim elde edebilir. Bu güvenlik açığı hem yerel hem de uzaktan istismar edilebilir ve kritik bir istismar riski ile derecelendirilir.
Bu güvenlik açığı, Mayıs ayında CoreSecurity SDI Corporation'ın dikkatine sunuldu ve o zamandan beri güvenlik firmasının web sitesinde yayınlanan bir danışma belgesinde ele alındı. SoftNAS için bir güncelleme de yayınlandı. Kullanıcılardan, yetkisiz kötü amaçlı kod yerleştirme saldırısının sonuçlarını azaltmak için sistemlerini şu son sürüme yükseltmeleri istenir: 4.0.3.
