V platformi za upravljanje podatkov v oblaku podjetja SoftNAS Incorporated je bila odkrita privilegij, ki povečuje ranljivost oddaljenega izvajanja kode, kot je opisano v varnostni bilten objavilo podjetje samo. Ugotovljeno je, da ranljivost obstaja v spletni skrbniški konzoli, ki zlonamernim hekerjem omogoča izvajanje poljubne kode s korenskimi dovoljenji ob izogibanju potrebi po avtorizaciji. Težava se še posebej predstavlja v skriptu endpoint snserv znotraj platforme, ki je odgovorna za preverjanje in izvajanje takih nalog. Oznaka je bila dodeljena ranljivosti CVE-2018-14417 .
SoftNAS Cloud CoreSecurity SDI Corporation je mrežno spodbujen sistem za shranjevanje podatkov, ki ga podpira podjetje in nudi podporo v oblaku nekaterim največjim ponudnikom, kot sta Amazon Web Services in Microsoft Azure, hkrati pa ohranja impresiven portfelj strank, kot sta Netflix Inc., Samsung Electronics Co Ltd., Toyota Motor Co., Coca-Cola Co. in Boeing Co. Storitev shranjevanja podpira protokole datotek NFS, CIFS / SMB, iSCSI in AFP ter omogoča najbolj temeljito in nadzorovano poslovno hrambo in podatkovne storitve. rešitev na ta način. Ta ranljivost pa zviša uporabniška dovoljenja in tako omogoči oddaljenemu hekerju izvajanje zlonamernih ukazov v ciljnem strežniku. Ker v končni točki ni nastavljen mehanizem za preverjanje pristnosti in skript snserv ne sanira vnosa pred izvajanjem operacije, lahko heker nadaljuje postopek brez potrebe po preverjanju seje. Ker spletni strežnik deluje na uporabniku Sudoer, lahko heker pridobi korenska dovoljenja in popoln dostop za izvajanje katere koli zlonamerne kode. Ta ranljivost je lokalno in oddaljeno izkoriščljiva in je ocenjena kot kritično tveganje za izkoriščanje.
Na to ranljivost je bila CoreSecurity SDI Corporation opozorjena maja in je bila od takrat obravnavana v nasvetu, objavljenem na spletni strani varnostnega podjetja. Izšla je tudi posodobitev za SoftNAS. Uporabniki naj svoje sisteme nadgradijo na najnovejšo različico: 4.0.3, da ublažijo posledice nepooblaščenega napada zlonamerne kode.
