พบสิทธิพิเศษในการยกระดับช่องโหว่การเรียกใช้รหัสจากระยะไกลในแพลตฟอร์มการจัดการข้อมูลบนคลาวด์ของ SoftNAS Incorporated ตามที่ระบุไว้ใน ประกาศความปลอดภัย เผยแพร่โดย บริษัท เอง ช่องโหว่นี้พบในคอนโซลการดูแลระบบเว็บซึ่งทำให้แฮ็กเกอร์ที่เป็นอันตรายสามารถรันโค้ดได้ตามอำเภอใจด้วยสิทธิ์ระดับรูทโดยไม่ต้องมีการอนุญาต ปัญหานี้แสดงตัวเองในสคริปต์ endpoint snserv ภายในแพลตฟอร์มที่รับผิดชอบในการตรวจสอบและดำเนินการงานดังกล่าว ช่องโหว่ได้รับการกำหนดป้ายกำกับแล้ว CVE-2018-14417 .
SoftNAS Cloud ของ CoreSecurity SDI Corporation เป็นระบบจัดเก็บข้อมูลที่กระตุ้นเครือข่ายสำหรับองค์กรซึ่งให้การสนับสนุนระบบคลาวด์แก่ผู้ขายรายใหญ่ที่สุดบางรายเช่น Amazon Web Services และ Microsoft Azure ในขณะที่ยังคงรักษากลุ่มลูกค้าที่น่าประทับใจเช่น Netflix Inc. , Samsung Electronics Co . Ltd. , Toyota Motor Co. , The Coca-Cola Co. และ The Boeing Co. บริการจัดเก็บข้อมูลรองรับโปรโตคอลไฟล์ NFS, CIFS / SMB, iSCSI และ AFP และทำให้การจัดเก็บและบริการข้อมูลในองค์กรมีการควบคุมและทั่วถึงมากที่สุด วิธีแก้ปัญหาในลักษณะนี้ อย่างไรก็ตามช่องโหว่นี้จะยกระดับสิทธิ์ของผู้ใช้เพื่อให้แฮ็กเกอร์ระยะไกลสามารถดำเนินการคำสั่งที่เป็นอันตรายในเซิร์ฟเวอร์เป้าหมายได้ เนื่องจากไม่มีกลไกการตรวจสอบสิทธิ์ที่ตั้งค่าไว้ในจุดสิ้นสุดและสคริปต์ snserv ไม่ได้ทำความสะอาดอินพุตก่อนที่จะดำเนินการแฮ็กเกอร์จึงสามารถทำตามได้โดยไม่จำเป็นต้องมีการตรวจสอบเซสชันใด ๆ เนื่องจากเว็บเซิร์ฟเวอร์ทำงานกับผู้ใช้ Sudoer แฮ็กเกอร์จึงสามารถรับสิทธิ์การรูทและเข้าถึงรหัสที่เป็นอันตรายได้อย่างสมบูรณ์ ช่องโหว่นี้สามารถใช้ประโยชน์ได้ทั้งจากในพื้นที่และจากระยะไกลและได้รับการจัดระดับว่าเสี่ยงต่อการถูกใช้ประโยชน์
ช่องโหว่นี้ถูกนำไปสู่การพิจารณาของ CoreSecurity SDI Corporation ในเดือนพฤษภาคมและตั้งแต่นั้นมาได้รับการแก้ไขในคำแนะนำที่เผยแพร่บนเว็บไซต์ของ บริษัท รักษาความปลอดภัย นอกจากนี้ยังมีการเผยแพร่การอัปเดตสำหรับ SoftNAS ขอให้ผู้ใช้อัปเกรดระบบเป็นเวอร์ชันล่าสุดนี้: 4.0.3 เพื่อลดผลกระทบจากการโจมตีด้วยการแทรกโค้ดที่เป็นอันตรายโดยไม่ได้รับอนุญาต
