Lỗ hổng trong SoftNAS Cloud cho phép kẻ tấn công bỏ qua xác thực

0
5

            Lỗ hổng cho phép kẻ tấn công chạy các lệnh tùy ý dưới quyền root, điều này rõ ràng làm suy yếu tính bảo mật của nền tảng SoftNAS Cloud và dữ liệu được lưu trữ trên đó.
        

            
                                                                             
            
            

                 [19459] ] ]
    

     Các doanh nghiệp không hiểu cách thức các công cụ an ninh mạng AI hoạt động, nhưng hãy lên kế hoạch sử dụng chúng bằng mọi giá
     Khoảng 71% doanh nghiệp có kế hoạch sử dụng AI và học máy trong các công cụ bảo mật của họ trong năm nay, mặc dù hơn một nửa không chắc chắn công nghệ đó thực sự làm gì, theo Webroot.
    

    

Một lỗ hổng trong SoftNAS Cloud cho phép kẻ tấn công bỏ qua hoàn toàn xác thực khi cố gắng truy cập vào giao diện quản trị dựa trên web, theo báo cáo hôm thứ tư từ Digital Defense.

Lỗ hổng có thể bị khai thác "nếu khách hàng không tuân theo các thực tiễn tốt nhất về triển khai SoftNAS và tiếp xúc trực tiếp với các cổng SoftNAS StorageCenter trên internet", có vẻ như rõ ràng trên bề mặt, mặc dù có khả năng ai đó đã định cấu hình không chính xác này. Khai thác lỗ hổng cho phép kẻ tấn công chạy các lệnh tùy ý dưới quyền root, điều này làm suy yếu rõ ràng tính bảo mật của nền tảng và dữ liệu được lưu trữ trên đó.

Điều này khác xa với lần đầu tiên chúng ta thấy một lỗ hổng như thế này, vì một máy chủ Elaticsearch không bảo mật đã tiết lộ thông tin đặt hàng và mật khẩu của khách hàng cho một số trang web thương mại điện tử có trụ sở tại Trung Quốc phục vụ cho việc bán hàng ở nước ngoài. Khi nhiều công ty chuyển sang đám mây, cả nhà cung cấp hệ thống đám mây và chuyên gia CNTT cần đảm bảo các hệ thống được cấu hình chính xác để đảm bảo dữ liệu nhạy cảm được bảo vệ.

XEM: Các nhà cung cấp điện toán đám mây hàng đầu 2019: Hướng dẫn của người dẫn đầu cho những người chơi chính (Nghiên cứu Tech Pro)

Theo bài đăng trên blog của Digital Defense, "Tệp cấu hình cân bằng tải có kiểm tra để xác minh trạng thái của cookie người dùng. Nếu không được đặt, hãy chuyển hướng người dùng đến trang đăng nhập. Có thể cung cấp giá trị tùy ý cho cookie này. để truy cập vào giao diện web mà không có thông tin xác thực người dùng hợp lệ. "

Lỗ hổng tồn tại trong các phiên bản 4.2.0 và 4.2.1 của SoftNAS StorageCenter và đã được vá từ ngày 4.2.2. Người dùng có thể cài đặt thủ công thông qua menu Cập nhật phần mềm trong giao diện web của thiết bị SoftNAS, đây là thành phần hơi bị mỉa mai.

Digital Defense tuyên bố rằng "Các kỹ sư tại SoftNAS phải được khen ngợi vì đã phản hồi kịp thời lỗ hổng đã xác định và nhóm của họ làm việc với VRT để cung cấp các bản sửa lỗi kịp thời cho vấn đề an ninh mạng này."

ngoài phạm vi bảo hiểm của TechRepublic về lý do tại sao 25% lỗ hổng phần mềm vẫn chưa được khắc phục trong hơn một năm và tìm hiểu 5 cách để bảo mật công nghệ mới đúng cách.

Cũng xem

 istock-901609212.jpg "width =" 770 "/> </span><figcaption>
<p>
                                            sarayut, hình ảnh Getty / iStockphoto<br />
                                        </p>
</figcaption></figure>
</p></div>
</pre>
<div class=

LEAVE A REPLY

Please enter your comment!
Please enter your name here