Verzie SoftNAS Cloud OS pod 4.0.3 sú zraniteľné voči vzdialenému spusteniu kódu

Novinky
Bezpečnosť / Verzie SoftNAS Cloud OS pod 4.0.3 sú zraniteľné voči vzdialenému spusteniu kódu 1 minúta čítania

Na platforme cloudovej správy údajov spoločnosti SoftNAS Incorporated bolo objavené oprávnenie zvyšujúce zraniteľnosť pri vzdialenom spustení kódu, ako je uvedené v bezpečnostný vestník zverejňuje samotná spoločnosť. Zistilo sa, že chyba zabezpečenia existuje v konzole pre správu webu, ktorá umožňuje škodlivým hackerom spustiť ľubovoľný kód s oprávneniami root, čím sa obíde potreba autorizácie. Táto otázka sa osobitne objavuje v skripte endpoint snserv na platforme zodpovednej za overovanie a vykonávanie týchto úloh. Zraniteľnosti bol pridelený štítok CVE-2018-14417 .



SoftNAS Cloud spoločnosti CoreSecurity SDI Corporation je sieťovo stimulovaný systém ukladania dát zameraný na podnikanie, ktorý poskytuje cloudovú podporu niektorým z najväčších dodávateľov, ako sú Amazon Web Services a Microsoft Azure, pričom si zachováva pôsobivé portfólio klientov, ako je Netflix Inc. Ltd., Toyota Motor Co., The Coca-Cola Co. a The Boeing Co. Služba ukladania podporuje protokoly súborov NFS, CIFS / SMB, iSCSI a AFP a umožňuje najdôkladnejšiu a najkontrolovanejšiu podnikovú službu ukladania a údajov. riešenie týmto spôsobom. Táto zraniteľnosť však zvyšuje oprávnenie používateľa, aby mohol vzdialený hacker vykonávať škodlivých príkazov na cieľovom serveri. Pretože v koncovom bode nie je nastavený žiadny autentifikačný mechanizmus a skript snserv pred vykonaním operácie dezinfikuje vstup, je hacker schopný pokračovať bez potreby akejkoľvek verifikácie relácie. Pretože webový server pracuje na užívateľovi Sudoer, môže hacker získať oprávnenie root a úplný prístup na vykonanie škodlivého kódu. Táto zraniteľnosť je lokálne aj vzdialene zneužiteľná a je klasifikovaná s kritickým rizikom zneužitia.

Táto chyba bola oznámená spoločnosti CoreSecurity SDI Corporation v máji a odvtedy sa ňou zaoberalo odporúčanie zverejnené na webovej stránke bezpečnostnej firmy. Vydaná bola aj aktualizácia SoftNAS. Od používateľov sa vyžaduje, aby inovovali svoje systémy na túto najnovšiu verziu: 4.0.3, aby sa zmiernili následky útoku neoprávneného vstrekovania škodlivého kódu.