SoftNAS Incorporatedのクラウドデータ管理プラットフォームで、リモートコード実行の脆弱性を高める特権が発見されました。 セキュリティ速報 会社自体が発行します。この脆弱性はWeb管理コンソールに存在することが判明しており、悪意のあるハッカーが認証の必要性を回避してroot権限で任意のコードを実行することを可能にします。この問題は、そのようなタスクの検証と実行を担当するプラットフォーム内のエンドポイントsnservスクリプトに特に現れます。脆弱性はラベルに割り当てられています CVE-2018-14417 。
CoreSecurity SDICorporationのSoftNASCloudは、エンタープライズギアのネットワーク刺激データストレージシステムであり、Netflix Inc.、Samsung Electronics Co.などの印象的なクライアントポートフォリオを維持しながら、Amazon WebServicesやMicrosoftAzureなどの大手ベンダーにクラウドサポートを提供します。 .Ltd。、Toyota Motor Co.、The Coca-Cola Co.、およびThe Boeing Co.ストレージサービスは、NFS、CIFS / SMB、iSCSI、およびAFPファイルプロトコルをサポートし、最も徹底的で制御されたエンタープライズストレージおよびデータサービスを実現します。この方法で解決します。ただし、この脆弱性によりユーザーのアクセス許可が高まり、リモートハッカーがターゲットサーバーで悪意のあるコマンドを実行できるようになります。エンドポイントに認証メカニズムが設定されておらず、snservスクリプトが操作を実行する前に入力をサニタイズしないため、ハッカーはセッションの検証を必要とせずにフォロースルーできます。 WebサーバーはSudoerユーザーで動作するため、ハッカーはroot権限を取得し、悪意のあるコードを実行するための完全なアクセス権を取得できます。この脆弱性は、ローカルとリモートの両方で悪用可能であり、悪用の重大なリスクで評価されます。
この脆弱性は5月にCoreSecuritySDI Corporationの注意を引いた後、セキュリティ会社のWebサイトに公開されたアドバイザリで対処されています。 SoftNASのアップデートもリリースされました。ユーザーは、システムを次の最新バージョン4.0.3にアップグレードして、不正な悪意のあるコードインジェクション攻撃の影響を軽減する必要があります。
