QNAP QVR nadzorni sustav. QNAP sigurnost
Lokalnu ranjivost uskraćivanja lozinke za uslugu otkrio je Luis Martinez u klijentu QNAP QVR Professional Video Management Solution Client 5.1.1.30070 na Windows 10 Pro x64 es. Utvrđeno je da ranjivost vraća odgovor odbijanja usluge kada je unesena lozinka međuspremnika. Ova ranjivost uzrokuje pad softvera sprečavajući ga da izvršava funkcije i usluge koje je namijenjen korisniku. CVE kôd još nije dodijeljen ranjivosti i nije objavljena zakrpa za ublažavanje ili ažuriranje za rješavanje problema.
The QNAP QVR verzija 5.1 client je profesionalni sustav za upravljanje video zapisima za visoke rezolucije i sigurnosne snimke ribljeg oka, dostupan za pregled u jednom prozoru. QVR sustav omogućuje korisnicima upravljanje i nadgledanje nekoliko IP prepoznatljivih kamera u prikazu uživo putem web preglednika u stvarnom vremenu. Klijent omogućuje korisnicima kontrolu i nulu pri korištenju PTZ, fiksnih i fisheye 360 surround kamera kako bi pažljivo i fleksibilno motrili na prizor. Pametna značajka snimanja povećava razlučivost video signala koja se emitira kada se aktiviraju alarmi, intuitivni način reprodukcije točno određuje točku nevolje na snimljenoj snimci, a značajka dvostrukog snimanja lokalno sprema snimke u HD 30 sličica u sekundi, iako ograničena propusnost interneta može prenositi samo VHD 5 kadrova u sekundi u to vrijeme. Zahvaljujući blagodati ovog temeljitog korisničkog sučelja, QNAP QVR sustav popularan je sigurnosni sustav integriran u mnoge trgovine, domove i urede radi lakšeg pristupa kojem služi.
Prema Luisu Martinezu, ako se izvrše sljedeći koraci, korisnik može reproducirati rušenje zabrane pristupa lozinkom. To prvo zahtijeva pokretanje python koda 'python QNap_QVR_Client_5.1.1.30070.py' (obična tekstualna datoteka s 279 slova), a zatim otvaranje datoteke QNap_QVR_Client_5.1.1.30070.txt za kopiranje sadržaja u međuspremnik. Zatim otvorite QVR.exe> IP adresa u 10.10.10.1 / 80, unesite korisničko ime kao 'admin' i zalijepite međuspremnik u dijaloški okvir lozinke. Pritiskom na tipku OK tada sustav pada. To se događa jer je unesena lozinka predugačka.
Budući da se radi o lokalnoj ranjivosti, postaje opasno ako vjerodajnice korisnika nisu dobro zaštićene ili ako je sustav zaražen zlonamjernim softverom koji može podići dozvole i pokretati proizvoljne naredbe za izvršavanje ovog postupka.
Nakon saslušanja tehničkog PR menadžera QNAP marketinga, Michaela Wanga, obaviješteni smo da je lozinka za međuspremnik DoS 'samo programska greška na računalu bez ikakvih prekida na strani poslužitelja nadzora ili zabrinutosti zbog curenja osjetljivih podataka.' Bili smo sigurni da 'dok se PC klijent (za gledanje video nadzora) sruši, nadzorni poslužitelj (za snimanje, smješten odvojeno na našem HW proizvodu) radi kao i obično i ne dolazi do prekida.'
