QNAP QVR stebėjimo sistema. „QNAP Security“
Luisas Martinezas „Windows 10 Pro x64 es“ versijoje „QNAP QVR Professional Video Management Solution Client 5.1.1.30070“ aptiko vietinio slaptažodžio atsisakymo aptikti paslaugą pažeidžiamumą. Buvo nustatyta, kad pažeidžiamumas grąžina atsisakymą teikti paslaugas, kai buvo įvestas mainų srities slaptažodis. Dėl šio pažeidžiamumo programinė įranga sugenda, neleisdama jai atlikti funkcijų ir paslaugų, kurias ji ketina atlikti vartotojui. CVE kodas dar nebuvo priskirtas pažeidžiamumui ir nebuvo išleistas joks sušvelninimo ar atnaujinimo pataisa, kad būtų galima išspręsti šią problemą.
The QNAP QVR 5.1 versija klientas yra profesionali vaizdo valdymo sistema, skirta aukštos raiškos ir žuvies akies apsaugos medžiagai, prieinama žiūrėti visus viename lange. QVR sistema leidžia vartotojams realiuoju laiku valdyti ir stebėti kelias IP atpažįstamas kameras tiesioginiame vaizde per interneto naršyklę. Klientas leidžia vartotojams valdyti ir nulio naudoti PTZ, fiksuotas ir „fisheye 360“ erdvines kameras, kad būtų galima kruopščiai ir lanksčiai stebėti visas scenas. Išmanioji įrašymo funkcija padidina vaizdo raišką, perduodamą pavojaus signalams, intuityvus atkūrimo režimas tiksliai nustato nelaimės vietą įrašytoje medžiagoje, o dvigubo įrašymo funkcija įrašo HD 30 kadrų per sekundę vaizdą vietoje, net jei ribotas interneto pralaidumas gali perduoti tik VHD 5 kadrus per sekundę tuo metu. Naudodamasi šia išsamia vartotojo sąsaja, „QNAP QVR“ sistema yra populiari apsaugos sistema, integruota į daugelį parduotuvių, namų ir biurų, kad būtų lengviau naudotis ja.
Pasak Luiso Martinezo, jei bus atlikti šie veiksmai, vartotojas gali atkurti slaptažodžio atsisakymo suteikti prieigą gedimą. Pirmiausia reikia paleisti pitono kodą „python QNap_QVR_Client_5.1.1.30070.py“ (paprasto teksto failas su 279 raidėmis) ir atidaryti failą QNap_QVR_Client_5.1.1.30070.txt, kad turinys būtų nukopijuotas į mainų sritį. Tada atidarydami QVR.exe> IP adresą 10.10.10.1 / 80, įveskite vartotojo vardą kaip „admin“ ir įklijuokite mainų sritį į slaptažodžio dialogo langą. Paspaudus gerai, sistema sugenda. Taip atsitinka, nes įvestas slaptažodis yra per ilgas.
Kadangi tai yra vietinis pažeidžiamumas, jis tampa pavojingas, jei vartotojo kredencialai nėra gerai apsaugoti arba jei sistema yra užkrėsta kenkėjiška programa, kuri sugeba pakelti leidimus ir paleisti savavališkas komandas šiai procedūrai atlikti.
Išgirdę „QNAP Marketing“ techninį viešųjų ryšių vadybininką Michaelą Wangą, mes buvome informuoti, kad mainų srities slaptažodis „DoS“ yra „tik kompiuterio programinės įrangos klaida be jokių stebėjimo serverio sutrikimų ar neskelbtinų duomenų nutekėjimo problemų“. Mes buvome įsitikinę, kad „kol kompiuterio klientas (stebėjimo vaizdo įrašo peržiūrai) užstringa, stebėjimo serveris (įrašymui, atskirai esantis mūsų HW gaminyje) veikia kaip įprasta ir nenutrūksta“.
