Kontrolní systém QNAP QVR. Zabezpečení QNAP
Chyba zabezpečení týkající se odmítnutí místního hesla byla objevena Luisem Martinezem v klientovi QNAP QVR Professional Video Management Solution 5.1.1.30070 na Windows 10 Pro x64 es. Bylo zjištěno, že chyba zabezpečení vrací odepření služby při zadání hesla schránky. Tato chyba zabezpečení způsobuje selhání softwaru a brání mu v provádění funkcí a služeb, které má pro uživatele provádět. K této chybě zabezpečení nebyl dosud přiřazen kód CVE a nebyla vydána opravná zmírňující nebo aktualizační aktualizace, která by problém vyřešila.
The QNAP QVR verze 5.1 client je profesionální systém pro správu videa s vysokým rozlišením a záběry z rybího oka, přístupný pro prohlížení v jednom okně. Systém QVR umožňuje uživatelům spravovat a sledovat několik kamer identifikovatelných pomocí IP v živém zobrazení prostřednictvím webového prohlížeče v reálném čase. Klient umožňuje uživatelům ovládat a vynulovat používání prostorových kamer PTZ, pevných kamer a 360 fisheye, aby bylo možné důkladně a pružně sledovat scény po ruce. Funkce inteligentního nahrávání zvyšuje rozlišení videa přenášeného při spuštění alarmu, intuitivní režim přehrávání určuje bod tísně v zaznamenaném záznamu a funkce duálního záznamu ukládá záznam v HD 30fps lokálně, i když omezená šířka pásma internetu je schopna přenášet pouze VHD 5fps v době, kdy. Díky výhodám tohoto důkladného uživatelského rozhraní je systém QNAP QVR oblíbeným bezpečnostním systémem integrovaným do mnoha obchodů, domácností a kanceláří pro snadný přístup, ke kterému slouží.
Podle Luise Martineze, pokud budou provedeny následující kroky, může uživatel reprodukovat zhroucení odepření přístupu heslem. Nejprve je nutné spustit kód pythonu „python QNap_QVR_Client_5.1.1.30070.py“ (soubor ve formátu prostého textu se 279 písmeny) a poté otevřít soubor QNap_QVR_Client_5.1.1.30070.txt a zkopírovat obsah do schránky. Dále otevřete QVR.exe> IP adresa v 10.10.10.1 / 80, zadejte uživatelské jméno jako „admin“ a vložte schránku do dialogového okna hesla. Stisknutím tlačítka OK se systém zhroutí. K tomu dochází, protože zadané heslo je příliš dlouhé.
Jelikož se jedná o místní chybu zabezpečení, stává se nebezpečnou, pokud pověření uživatele nejsou dobře chráněna nebo pokud je systém napaden malwarem, který je schopen zvýšit oprávnění a spustit libovolné příkazy k provedení tohoto postupu.
Po vyslechnutí technickým manažerem PR společnosti QNAP Marketing, Michaelem Wangem, jsme byli informováni, že heslo schránky DoS je „pouze softwarová chyba na straně PC bez jakéhokoli přerušení na straně sledovacího serveru nebo úniku citlivých dat.“ Zajistili jsme, že „zatímco je klient PC (pro sledování sledovacího videa) havarován, monitorovací server (pro nahrávání, umístěný samostatně na našem HW produktu) běží jako obvykle a nedochází k žádným přerušením.“
