Er werd een privilege ontdekt dat de kwetsbaarheid voor het uitvoeren van externe code vergroot in het clouddatamanagementplatform van SoftNAS Incorporated, zoals beschreven in een beveiligingsbulletin gepubliceerd door het bedrijf zelf. De kwetsbaarheid blijkt te bestaan in de webbeheerconsole die kwaadwillende hackers in staat stelt willekeurige code uit te voeren met rootmachtigingen, waarbij de noodzaak van autorisatie wordt omzeild. Het probleem doet zich met name voor in het endpoint snserv-script binnen het platform dat verantwoordelijk is voor de verificatie en uitvoering van dergelijke taken. De kwetsbaarheid heeft het label gekregen CVE-2018-14417 .
CoreSecurity SDI Corporation's SoftNAS Cloud is een bedrijfsgericht netwerkgestimuleerd gegevensopslagsysteem dat cloudondersteuning biedt aan enkele van de grootste leveranciers zoals Amazon Web Services en Microsoft Azure, terwijl het een indrukwekkend klantenportfolio behoudt, zoals Netflix Inc., Samsung Electronics Co. Ltd., Toyota Motor Co., The Coca-Cola Co. en The Boeing Co. De opslagservice ondersteunt NFS-, CIFS / SMB-, iSCSI- en AFP-bestandsprotocollen en zorgt voor de meest grondige en gecontroleerde opslag- en gegevensservice voor ondernemingen oplossing op deze manier. Deze kwetsbaarheid verhoogt echter de gebruikersmachtigingen zodat een hacker op afstand kwaadaardige commando's op de doelserver kan uitvoeren. Aangezien er geen authenticatiemechanisme is ingesteld in het endpoint en het snserv-script de invoer niet opschoont voordat de bewerking wordt uitgevoerd, kan de hacker doorgaan zonder dat er enige sessieverificatie nodig is. Omdat de webserver op een Sudoer-gebruiker werkt, kan de hacker rootmachtigingen verkrijgen en volledige toegang krijgen om eventuele kwaadaardige code uit te voeren. Deze kwetsbaarheid kan zowel lokaal als op afstand worden misbruikt en wordt beoordeeld met een kritiek risico op misbruik.
Deze kwetsbaarheid werd in mei onder de aandacht van CoreSecurity SDI Corporation gebracht en is sindsdien aangepakt in een advies dat op de website van het beveiligingsbedrijf is gepubliceerd. Er is ook een update voor SoftNAS uitgebracht. Gebruikers wordt verzocht hun systemen te upgraden naar deze nieuwste versie: 4.0.3 om de gevolgen van een ongeautoriseerde aanval met kwaadaardige code-injectie te beperken.
