QNAP QVR -valvontajärjestelmä. QNAP-suojaus
Luis Martinez löysi paikallisen salasanan palvelunestohäiriön QNAP QVR Professional Video Management Solution Client 5.1.1.30070 -käyttöjärjestelmässä Windows 10 Pro x64 -käyttöjärjestelmissä. Haavoittuvuuden havaittiin palauttavan palveluneston vastauksen, kun leikepöydän salasana annettiin. Tämä haavoittuvuus aiheuttaa ohjelmiston kaatumisen estäen sitä suorittamasta käyttäjälle tarkoitettuja toimintoja ja palveluja. CVE-koodia ei ole vielä määritetty haavoittuvuudelle, eikä ongelman korjaamiseksi ole julkaistu korjaus- tai päivityskorjausta.
QNAP QVR -versio 5.1 asiakas on ammattimainen videonhallintajärjestelmä korkean resoluution ja kalansilmä-turvakuvaa varten, joka on saatavana katsella kaikki yhdessä ikkunassa. QVR-järjestelmän avulla käyttäjät voivat hallita ja valvoa useita IP-tunnistettavia kameroita reaaliaikanäkymässä reaaliajassa. Asiakkaan avulla käyttäjät voivat hallita ja nollata PTZ-, kiinteitä ja kalansilmä 360 -kameroita pitääkseen perusteellisen ja joustavan silmän käsillä olevissa kohtauksissa. Älykäs tallennustoiminto lisää videotarkkuutta, kun hälytykset laukaistaan, intuitiivinen toistotila osoittaa hätäkohdan tallennetussa kuvamateriaalissa, ja kaksoistallennusominaisuus tallentaa paikallisesti HD 30 kuvaa sekunnissa, vaikka rajoitettu Internet-kaistanleveys pystyy lähettämään vain VHD 5 kuvaa sekunnissa tällä hetkellä. Tämän perusteellisen käyttöliittymän ansiosta QNAP QVR -järjestelmä on suosittu turvajärjestelmä, joka on integroitu moniin myymälöihin, koteihin ja toimistoihin palvelemisen helpottamiseksi.
Luis Martinezin mukaan, jos seuraavat vaiheet suoritetaan, käyttäjä voi toistaa salasanan käytön eston kaatumisen. Tämä edellyttää ensin python-koodin 'python QNap_QVR_Client_5.1.1.30070.py' (pelkkä tekstitiedosto 279 kirjaimella) suorittamista ja sitten QNap_QVR_Client_5.1.1.30070.txt-tiedoston avaamista sisällön kopioimiseksi leikepöydälle. Seuraavaksi avaamalla QVR.exe> IP-osoite kohdassa 10.10.10.1 / 80, kirjoita käyttäjänimi 'admin' ja liitä leikepöytä salasanan valintaikkunaan. Kun painat ok, järjestelmä kaatuu. Tämä tapahtuu, koska syötetty salasana on liian pitkä.
Koska tämä on paikallinen haavoittuvuus, siitä tulee vaarallista, jos käyttäjän kirjautumistietoja ei ole suojattu hyvin tai jos järjestelmässä on haittaohjelmia, jotka pystyvät korottamaan käyttöoikeuksia ja suorittamaan mielivaltaisia komentoja tämän toimenpiteen suorittamiseksi.
QNAP-markkinoinnin teknisen PR-johtajan Michael Wangin kuultuaan meille ilmoitettiin, että leikepöydän salasana DoS on 'vain PC-puolen ohjelmistovirhe ilman valvontapalvelimen keskeytyksiä tai arkaluontoisia tietovuotoja'. Meille varmistettiin, että 'kun PC-asiakas (valvontavideon katseluun) kaatuu, valvontapalvelin (tallennusta varten, joka sijaitsee erikseen HW-tuotteessamme) toimii normaalisti eikä häiriöitä tapahdu.'
