تم اكتشاف امتياز يزيد من ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في منصة إدارة البيانات السحابية لشركة SoftNAS Incorporated كما هو موضح في نشرة الأمن نشرتها الشركة نفسها. تم العثور على الثغرة الأمنية في وحدة تحكم إدارة الويب التي تسمح للمتسللين الضارين بتنفيذ تعليمات برمجية عشوائية بأذونات الجذر التي تتجاوز الحاجة إلى التفويض. تظهر المشكلة بشكل خاص في نصوص snserv لنقطة النهاية داخل النظام الأساسي المسؤول عن التحقق من مثل هذه المهام وتنفيذها. تم تخصيص التسمية للثغرة الأمنية CVE-2018-14417 .
يعد SoftNAS Cloud من CoreSecurity SDI Corporation نظام تخزين بيانات محفز بالشبكة موجهًا للمؤسسات يوفر دعمًا سحابيًا لبعض أكبر البائعين مثل Amazon Web Services و Microsoft Azure مع الحفاظ على مجموعة رائعة من العملاء مثل Netflix Inc. و Samsung Electronics Co . Ltd. ، Toyota Motor Co. ، The Coca-Cola Co. ، The Boeing Co تدعم خدمة التخزين بروتوكولات ملفات NFS و CIFS / SMB و iSCSI و AFP ، وهي تقدم خدمات تخزين وبيانات مؤسسية أكثر شمولاً وتحكم حل بهذه الطريقة. ومع ذلك ، فإن هذه الثغرة الأمنية ترفع أذونات المستخدم للسماح للمتسلل عن بُعد بتنفيذ أوامر ضارة في الخادم الهدف. نظرًا لعدم وجود آلية مصادقة تم إعدادها في نقطة النهاية ولا يقوم برنامج snserv النصي بتعقيم الإدخال قبل تنفيذ العملية ، يمكن للمتسلل المتابعة دون الحاجة إلى أي تحقق من الجلسة. نظرًا لأن خادم الويب يعمل على مستخدم Sudoer ، يمكن للمتسلل الحصول على أذونات الجذر والوصول الكامل لتنفيذ أي تعليمات برمجية ضارة. هذه الثغرة قابلة للاستغلال محليًا وعن بعد ، وهي مصنفة على أنها خطر كبير يتمثل في استغلالها.
وقد تم لفت انتباه شركة CoreSecurity SDI Corporation هذه الثغرة الأمنية في مايو ، ومنذ ذلك الحين تمت معالجتها في تقرير استشاري نُشر على موقع الشركة الأمنية. كما تم إصدار تحديث لبرنامج SoftNAS. يُطلب من المستخدمين ترقية أنظمتهم إلى هذا الإصدار الأخير: 4.0.3 للتخفيف من عواقب هجوم حقن التعليمات البرمجية الضارة غير المصرح به.
