Ett privilegium som höjer sårbarheten för fjärrkörning av koder upptäcktes i molndatahanteringsplattformen för SoftNAS Incorporated som beskrivs i en säkerhetsbulletin publiceras av företaget självt. Sårbarheten befinner sig i webbadministrationskonsolen som gör det möjligt för skadliga hackare att köra godtycklig kod med rotbehörigheter som kringgår behovet av behörighet. Frågan presenterar sig särskilt i slutpunktssnserv-skriptet inom plattformen som ansvarar för verifiering och utförande av sådana uppgifter. Sårbarheten har tilldelats etiketten CVE-2018-14417 .
CoreSecurity SDI Corporation SoftNAS Cloud är ett företagsinriktat nätverksstimulerat datalagringssystem som ger molnstöd till några av de största leverantörerna som Amazon Web Services och Microsoft Azure, samtidigt som en imponerande portfölj av klienter som Netflix Inc., Samsung Electronics Co upprätthålls. Ltd., Toyota Motor Co., The Coca-Cola Co. och The Boeing Co. Lagringstjänsten stöder NFS-, CIFS / SMB-, iSCSI- och AFP-filprotokoll och ger den mest noggranna och kontrollerade företagslagrings- och datatjänsten lösningen på detta sätt. Denna sårbarhet höjer dock användarnas behörigheter så att en fjärrhacker kan köra skadliga kommandon på målservern. Eftersom det inte finns någon autentiseringsmekanism i slutpunkten och snserv-skriptet inte sanerar ingången innan operationen utförs, kan hackaren följa igenom utan behov av någon sessionsverifiering. Eftersom webbservern fungerar på en Sudoer-användare kan hackaren få root-behörigheter och fullständig åtkomst för att utföra någon skadlig kod. Denna sårbarhet kan utnyttjas både lokalt och på distans och klassificeras med en kritisk risk för exploatering.
Denna sårbarhet uppmärksammades av CoreSecurity SDI Corporation i maj och har sedan dess behandlats i en rådgivning som publicerades på säkerhetsföretagets webbplats. En uppdatering för SoftNAS har också släppts. Användarna uppmanas att uppgradera sina system till den senaste versionen: 4.0.3 för att mildra konsekvenserna av en obehörig attack med skadlig kodinjektion.
