アフィリエイトリンクまたはスポンサーシップを通じて、ベンダーから収益を得る場合があります。これにより、サイト上の商品配置が影響を受ける可能性がありますが、レビューの内容には影響しません。詳細は利用規約をご覧ください。
この脆弱性により、攻撃者はルートとして任意のコマンドを実行できるようになり、SoftNAS Cloud プラットフォームとそこに保存されているデータのセキュリティが明らかに損なわれます。
Digital Defenseの水曜日のレポートによると、SoftNAS Cloudの脆弱性により、攻撃者はWebベースの管理インターフェースにアクセスする際に認証を完全にバイパスできる可能性があるという。
この脆弱性は、「顧客がSoftNAS導入のベストプラクティスに従わず、SoftNAS StorageCenterのポートをインターネットに直接公開している場合」に悪用される可能性があります。これは一見明白なように見えますが、誰かがこれを誤って設定している可能性も明らかにあります。この脆弱性を悪用すると、攻撃者は任意のコマンドをroot権限で実行できるようになり、プラットフォームとそこに保存されているデータのセキュリティが明らかに損なわれます。
このような脆弱性は初めてではありません。セキュリティ保護されていないElasticsearchサーバーによって、海外販売を目的とした複数の中国系eコマースウェブサイトの顧客注文情報とパスワードが漏洩しました。クラウドへの移行が進むにつれ、クラウドシステムプロバイダーとITプロフェッショナルの両方が、機密データを確実に保護するためにシステムを正しく構成する必要があります。
参照: 2019 年のトップクラウドプロバイダー: 主要プレーヤーのリーダー向けガイド (Tech Pro Research)
Digital Defenseのブログ投稿によると、「ロードバランサーの設定ファイルには、ユーザーCookieのステータスを確認するためのチェック機能があります。設定されていない場合は、ユーザーをログインページにリダイレクトします。このCookieに任意の値を設定すると、有効なユーザー認証情報なしでWebインターフェースにアクセスできるようになります。」
この脆弱性はSoftNAS StorageCenterのバージョン4.2.0および4.2.1に存在し、4.2.2で修正されています。ユーザーは、皮肉なことに脆弱性のあるコンポーネントであるSoftNASアプライアンスのWebインターフェースの「ソフトウェア更新」メニューから手動でアップデートできます。
デジタル・ディフェンスは、「特定された欠陥に対するSoftNASのエンジニアの迅速な対応と、同社のチームがVRTと協力してこのサイバーセキュリティ問題に迅速な修正を提供したことは称賛に値する」と述べた。
セキュリティの詳細については、ソフトウェアの脆弱性の 25% が 1 年以上修正されないままになっている理由に関する TechRepublic の記事をご覧ください。また、新しいテクノロジーを適切に保護する 5 つの方法についても学んでください。
こちらもご覧ください
- チートシート:サイバーセキュリティのプロになる方法
- フィッシング攻撃:ITプロフェッショナル向けガイド
- 情報セキュリティポリシー
- オンラインセキュリティ101:ハッカーやスパイからプライバシーを守るためのヒント
- 2019年のベストパスワードマネージャー
- サイバーセキュリティとサイバー戦争:さらに必読の記事
ジェームズ・サンダース
ジェームズ・サンダースは451リサーチのアナリストです。以前はTechRepublicのスタッフテクノロジーライターを務めていました。
