Byla zjištěna chyba zabezpečení zvyšující zabezpečení vzdáleného spuštění kódu na platformě pro správu cloudových dat SoftNAS Incorporated, jak je uvedeno v bezpečnostní bulletin zveřejněna samotnou společností. Zjistí se, že chyba zabezpečení existuje v konzole pro správu webu, která umožňuje hackerům se zlými úmysly spustit libovolný kód s oprávněními uživatele root, což obchází potřebu autorizace. Tato otázka se zvláště projevuje ve skriptu koncového bodu snserv v rámci platformy odpovědné za ověřování a provádění těchto úkolů. Zranitelnosti byl přidělen štítek CVE-2018-14417 .
SoftNAS Cloud společnosti CoreSecurity SDI Corporation je síťově stimulovaný systém pro ukládání dat zaměřený na podniky, který poskytuje cloudovou podporu některým z největších prodejců, jako jsou Amazon Web Services a Microsoft Azure, při zachování působivého portfolia klientů, jako je Netflix Inc. Ltd., Toyota Motor Co., The Coca-Cola Co. a The Boeing Co. Služba úložiště podporuje protokoly souborů NFS, CIFS / SMB, iSCSI a AFP a zajišťuje nejdůkladnější a nejkontrolovanější podnikové úložiště a datovou službu řešení tímto způsobem. Tato chyba zabezpečení však zvyšuje uživatelská oprávnění a umožňuje vzdálenému hackerovi provádět škodlivé příkazy na cílovém serveru. Vzhledem k tomu, že v koncovém bodě není nastaven žádný ověřovací mechanismus a skript snserv před provedením operace dezinfikuje vstup, je hacker schopen postupovat bez nutnosti jakéhokoli ověření relace. Vzhledem k tomu, že webový server pracuje s uživatelem Sudoer, může hacker získat oprávnění root a úplný přístup ke spuštění škodlivého kódu. Tato chyba zabezpečení je zneužitelná lokálně i vzdáleně a je klasifikována s kritickým rizikem zneužití.
Tato chyba zabezpečení byla na CoreSecurity SDI Corporation upozorněna v květnu a od té doby jí bylo věnováno doporučení zveřejněné na webu bezpečnostní firmy. Byla také vydána aktualizace SoftNAS. Od uživatelů se požaduje, aby upgradovali své systémy na tuto nejnovější verzi: 4.0.3, aby zmírnili důsledky neoprávněného útoku vložením škodlivého kódu.
