Sistem Pengawasan QNAP QVR. Keselamatan QNAP
Kerentanan penolakan kata laluan tempatan mengenai kerentanan perkhidmatan ditemui oleh Luis Martinez dalam Klien Penyelesaian Pengurusan Video Profesional QNAP QVR 5.1.1.30070 pada Windows 10 Pro x64 es. Kerentanan didapati mengembalikan tindak balas penolakan perkhidmatan apabila kata laluan papan keratan dimasukkan. Kerentanan ini menyebabkan perisian mogok menghalangnya daripada menjalankan fungsi dan perkhidmatan yang ingin dijalankan untuk pengguna. Kod CVE belum diberikan untuk kerentanan dan belum ada patch mitigasi atau kemas kini yang dikeluarkan untuk menyelesaikan masalah ini.
The QNAP QVR versi 5.1 pelanggan adalah sistem pengurusan video profesional untuk resolusi tinggi dan rakaman keselamatan fisheye, dapat diakses untuk melihat semua dalam satu tetingkap. Sistem QVR membolehkan pengguna mengurus dan memantau beberapa kamera yang dapat dikenal pasti IP dalam paparan langsung melalui penyemak imbas web dalam masa nyata. Pelanggan membenarkan pengguna mengawal dan tidak menggunakan kamera surround PTZ, fixed, dan fisheye 360 untuk mengawasi pemandangan yang teliti dan fleksibel. Ciri rakaman pintar meningkatkan resolusi video yang dipancarkan ketika penggera dicetuskan, mod pemutaran intuitif menunjukkan titik bahaya dalam rakaman yang dirakam, dan ciri rakaman ganda menyimpan rakaman dalam HD 30fps secara tempatan walaupun lebar jalur internet yang terhad hanya dapat menghantar VHD 5fps pada masa itu. Melalui kelebihan antara muka pengguna yang menyeluruh ini, sistem QNAP QVR adalah sistem keselamatan yang popular yang disatukan ke banyak kedai, rumah, dan pejabat untuk kemudahan akses yang dilayaninya.
Menurut Luis Martinez, jika langkah-langkah berikut dilakukan, pengguna dapat menghasilkan semula kata laluan yang menolak penolakan akses. Ini pertama memerlukan menjalankan kod python 'python QNap_QVR_Client_5.1.1.30070.py' (fail teks biasa dengan 279 huruf) dan kemudian membuka fail QNap_QVR_Client_5.1.1.30070.txt untuk menyalin kandungan ke papan keratan. Seterusnya, membuka QVR.exe> alamat IP pada 10.10.10.1 / 80, masukkan nama pengguna sebagai 'admin' dan tampal papan keratan ke dalam kotak dialog kata laluan. Menekan oke kemudian merosakkan sistem. Ini berlaku kerana kata laluan yang dimasukkan terlalu panjang.
Oleh kerana ini adalah kerentanan tempatan, menjadi berbahaya jika kelayakan pengguna tidak dilindungi dengan baik atau jika sistem dijangkiti malware yang dapat meningkatkan izin dan menjalankan perintah sewenang-wenang untuk melaksanakan prosedur ini.
Setelah mendengar daripada Pengurus PR Teknikal Pemasaran QNAP, Michael Wang, kami diberitahu bahawa kata laluan papan keratan DoS adalah 'hanya bug perisian sisi PC tanpa gangguan dari sisi pengawasan pelayan atau kebocoran data sensitif.' Kami memastikan bahawa 'semasa klien PC (untuk melihat video pengawasan) dihancurkan, pelayan pengawasan (untuk rakaman, terletak secara terpisah pada produk HW kami) berjalan seperti biasa dan tidak ada gangguan.'
