Usuários do SoftNAS Cloud obtêm correção de segurança para vulnerabilidade

A SoftNAS diz que um componente de servidor da Web e balanceador de carga adicionado para reforçar a segurança do seu Cloud NAS na verdade poderia permitir acesso não autorizado à interface de administração da web.

Os clientes do SoftNAS Cloud NAS precisam instalar uma correção de segurança para corrigir uma vulnerabilidade que uma empresa de segurança descobriu nas versões 4.2.0 e 4.2.1 do produto de armazenamento definido por software.


A Digital Defense, uma empresa de segurança sediada em San Antonio, notificou o SoftNAS em janeiro que um invasor poderia obter acesso à interface de administração web sem credenciais de usuário válidas e adicionar usuários ou executar comandos arbitrários. O SoftNAS emitiu uma correção de segurança com sua atualização do produto 4.2.2 em 12 de março.

Jeff Russo, vice-presidente sênior de produtos da SoftNAS, com sede em Houston, disse que a empresa não classificaria a atualização de segurança como crítica. Ele disse que os clientes só são vulneráveis ​​se expuserem as portas do SoftNAS StorageCenter diretamente à Internet, não seguindo as melhores práticas .

Mas Marc Staimer, presidente da Dragon Slayer Consulting em Beaverton, Oregon, pediu aos clientes que instalem a atualização o mais rápido possível, porque os maus atores poderiam tentar explorar a vulnerabilidade depois que a Digital Defense e a SoftNAS divulgaram esta semana.

“Toda vez que um patch sai, eles sabem que as pessoas tendem a não implementar os patches rapidamente”, disse Staimer. “Isso significa que muitas implementações são vulneráveis, e elas vão atrás disso”.

Segunda vulnerabilidade desde julho

Empresas de segurança marcaram a SoftNAS duas vezes por vulnerabilidades em menos de um ano. Em julho passado, o Core Security – agora parte da HelpSystems, baseada em Eden Prairie, Minnesota – identificou uma vulnerabilidade de injeção de comando nas versões do SoftNAS Cloud anteriores à 4.0.3. O Core Security disse que a vulnerabilidade no console de administração da web pode permitir que um invasor não autenticado execute comandos arbitrários com permissões de root.


Russo disse que, embora as duas vulnerabilidades tenham afetado o console de administração da web, elas eram de natureza diferente. Ele disse que a vulnerabilidade mais recente está relacionada a um servidor web NGINX de código aberto e umcomponente de balanceamento de carga que o SoftNAS recentemente adicionou. Curiosamente, ele disse, uma razão pela qual o SoftNAS adicionou o componente NGINX foi para melhorar a segurança.

“Foi essencialmente um erro com a maneira como foi integrado”, disse Russo. “Não é algo que teria sido facilmente detectado pela maioria das pessoas. Acontece que a Defesa Digital tem um grande conhecimento sobre o componente NGINX e foi capaz de identificar esse problema.”

A Digital Defense disse que o arquivo de configuração padrão do SoftNAS Cloud NGINX tem uma verificação para verificar o status de um cookie de usuário. Se a verificação não estiver definida, o usuário será redirecionado para a página de login. Um valor arbitrário poderia ser fornecido para o cookie acessar a interface da web sem credenciais de usuário válidas, de acordo com a Digital Defense.

Vulnerabilidade potencialmente séria

“Sentimos que é bastante sério, porque não há muitos fatores mitigantes”, disse Mike Cotton, vice-presidente de pesquisa e desenvolvimento da Digital Defense. “Se você puder enviar um pacote de ping no dispositivo ou acessar a interface de administração pela rede, poderá explorá-lo.”

Cotton disse que o código de gerenciamento de sessão do SoftNAS Cloud não estava verificando a existência de uma sessão válida, mas apenas verificando, através do cookie, que qualquer chave de sessão existia. Isso forneceu uma maneira de obter acesso de administrador remoto sem credenciais.

Os clientes devem fazer login em sua conta da plataforma AWS ou Microsoft Azure para iniciar uma nova instância do SoftNAS Cloud. As melhores práticas pedem para acessar o SoftNAS através de uma conexão de rede virtual privada com a rede virtual onde a instância do SoftNAS Cloud mora, disse John Yeazell, diretor de garantia de qualidade da SoftNAS.

Uma vez conectado, disse Yeazell, um cliente apontaria um navegador para a instância do SoftNAS, ou máquina virtual, por meio de uma sessão HTTPS para gerenciá-lo. Os usuários acessam, configuram e gerenciam o dispositivo virtual por meio da interface de usuário do SoftNAS, StorageCenter ou da interface de linha de comando – não por meio do AWS ou do Azure.

“Se os usuários finais escolherem tornar o appliance acessível através de uma porta pública, eles devem seguir as melhores práticas da plataforma para bloquear” a conexão IP, disse Yeazell.

Russo disse que o SoftNAS trabalhou com o Digital Defense na correção de segurança e que nenhum cliente relatou explorações ou violações relacionadas às vulnerabilidades descobertas pelo Núcleo de Segurança e Defesa Digital. O SoftNAS corrigiu a vulnerabilidade de julho em sua versão do produto 4.0.3. A atualização 4.2.2 que o SoftNAS lançou em 12 de março corrige as versões do produto 4.2.0 e 4.2.1 que estão disponíveis desde 15 de novembro.

A Digital Defense notificou a SoftNAS sobre a vulnerabilidade em janeiro, mantendo sua possibilidade de divulgação responsável, e publicou suas descobertas assim que o patch se tornou disponível. A Digital Defense expôs vulnerabilidades de outros fornecedores no passado, incluindo uma para a Dell EMC no ano passado .

O modelo de negócios da Digital Defense é realizar testes de avaliação e penetração de vulnerabilidades, geralmente para clientes de setores regulamentados, como serviços financeiros. Cotton disse que a equipe de pesquisa da empresa geralmente dá uma boa olhada nos dispositivos de backup e NAS e sinaliza o SoftNAS como um dispositivo que eles estavam vendo e queriam checar.

Algodão estima-se que não mais de 100 dos cerca de 4.000 clientes da Digital Defense usam o SoftNAS Cloud, e ele não tem conhecimento de nenhum cliente que tenha sofrido um efeito adverso relacionado à vulnerabilidade.

Atualização disruptiva

A atualização do SoftNAS Cloud 4.2.2 requer uma reinicialização, portanto os clientes devem planejar a interrupção, disse Yeazell. Os clientes com uma configuração de alta disponibilidade podem manter o tempo de atividade, disse ele, mas as melhores práticas de infraestrutura de TI recomendam que os usuários planejem uma janela de manutenção.


A SoftNAS afirma cerca de 300 clientes conhecidos e 7.000 implementações. Mas não tem informações de contagem ou contato para os usuários que adquirem o software através dos mercados da AWS e do Azure, de acordo com Yolande Yip, diretor de marketing da empresa.

Yip disse que o único mecanismo para notificar ou alertar os clientes sobre vulnerabilidades de segurança ou atualizações de produtos é o e-mail gerado pela AWS enviado aos assinantes atuais em nome do SoftNAS. Essas comunicações passam pelo processo de aprovação da AWS, e a SoftNAS não está a par de identificar informações ou o número de mensagens de e-mail, disse ela.

Os clientes do SoftNAS também têm a opção de verificar manualmente as atualizações abrindo “configurações” por meio da interface do usuário e clicando em “atualizações de software”. O assistente mostra a versão que o cliente está executando e a última versão disponível.

Staimer disse que toda empresa de software tem a responsabilidade de saber quem usa seus produtos, para que possa informá-los sobre vulnerabilidades de segurança e outros problemas que requerem sua atenção. Ele disse que mais provedores de computação e armazenamento baseados em nuvem estão adicionando autenticação multifatorial – como mensagens de texto para telefones celulares e biometria – para impedir o acesso não autorizado.

“Todo produto tem vulnerabilidades. É como a empresa lida com eles que importa”, disse Staimer.

Yeazell disse que o SoftNAS oferece uma opção de dupla autenticação, onde o usuário primeiro se autentica com o SoftNAS e depois autentica usando credenciais do Google ou do Facebook. Ele disse que opções de autenticação multifator mais rigorosas estão no roteiro do produto.

Leave a Reply

Your email address will not be published. Required fields are marked *