Versi SoftNAS Cloud OS Di Bawah 4.0.3 Rentan terhadap Pelaksanaan Kod Jauh

Keistimewaan untuk meningkatkan kerentanan pelaksanaan kod jauh ditemui di platform pengurusan data awan SoftNAS Incorporated seperti yang digariskan dalam buletin keselamatan diterbitkan oleh syarikat itu sendiri. Kerentanan didapati ada di konsol pentadbiran web yang membolehkan penggodam jahat melaksanakan kod sewenang-wenangnya dengan izin root dengan melewati keperluan untuk mendapatkan kebenaran. Masalahnya terutama muncul dalam skrip snserv endpoint dalam platform yang bertanggungjawab untuk pengesahan dan pelaksanaan tugas-tugas tersebut. Kerentanan telah diberikan label CVE-2018-14417 .

Cloud SoftNAS CoreSecurity SDI Corporation adalah sistem penyimpanan data yang dirangsang rangkaian untuk perusahaan yang menyediakan sokongan awan kepada beberapa vendor terbesar seperti Amazon Web Services dan Microsoft Azure sambil mengekalkan portfolio pelanggan yang mengagumkan seperti Netflix Inc., Samsung Electronics Co Ltd., Toyota Motor Co., The Coca-Cola Co., dan The Boeing Co. Perkhidmatan penyimpanan menyokong protokol fail NFS, CIFS / SMB, iSCSI, dan AFP dan menjadikan perkhidmatan penyimpanan dan data syarikat yang paling teliti dan terkawal. penyelesaian dengan cara ini. Kerentanan ini, bagaimanapun, meningkatkan izin pengguna untuk membolehkan penggodam jarak jauh untuk melaksanakan perintah jahat di pelayan sasaran. Oleh kerana tidak ada mekanisme pengesahan yang disiapkan di titik akhir dan skrip snserv tidak membersihkan input sebelum menjalankan operasi, penggodam dapat menindaklanjutinya tanpa memerlukan pengesahan sesi. Oleh kerana pelayan web beroperasi pada pengguna Sudoer, penggodam dapat memperoleh izin root dan akses lengkap untuk melaksanakan kod berbahaya. Kerentanan ini dapat dieksploitasi secara tempatan dan jarak jauh dan dinilai sebagai risiko eksploitasi kritikal.

Kerentanan ini dibawa ke perhatian CoreSecurity SDI Corporation pada bulan Mei dan sejak itu ditangani dalam nasihat yang diterbitkan di laman web firma keselamatan. Kemas kini untuk SoftNAS juga telah dikeluarkan. Pengguna diminta untuk menaik taraf sistem mereka ke versi terbaru ini: 4.0.3 untuk mengurangkan akibat dari serangan suntikan kod jahat yang tidak dibenarkan.