QNAP QVR felügyeleti rendszer. QNAP biztonság
Helyi jelszóval megtagadta a szolgáltatást megtagadó biztonsági rést Luis Martinez fedezte fel a QNAP QVR Professional Video Management Solution Client 5.1.1.30070 kliensben Windows 10 Pro x64 es rendszeren. A biztonsági résről kiderült, hogy szolgáltatásmegtagadási választ ad vissza, amikor egy vágólap jelszavát adta meg. Ez a biztonsági rés a szoftver összeomlását okozza, megakadályozva ezzel a felhasználó számára szánt funkciók és szolgáltatások végrehajtását. CVE-kódot még nem rendeltek a biztonsági réshez, és a probléma megoldására semmilyen enyhítő vagy frissítő javítást nem adtak ki.
A QNAP QVR 5.1-es verzió A kliens egy professzionális videokezelő rendszer nagy felbontású és halszem biztonsági felvételek készítéséhez, amely egy ablakban megtekinthető. A QVR rendszer lehetővé teszi a felhasználók számára, hogy valós időben több IP-azonosításra képes kamerát kezelhessenek és figyeljenek élőben, webböngészőn keresztül. Az ügyfél lehetővé teszi a felhasználók számára a PTZ, a rögzített és a halszem 360 térhatású kamerák vezérlését és nullázását, hogy alaposan és rugalmasan figyelhessék a jeleneteket. Az intelligens felvételi funkció növeli a riasztások bekapcsolásakor továbbított videó felbontását, az intuitív lejátszási mód pontosan meghatározza a felvett felvételek vészhelyzetét, a kettős felvételi funkció pedig HD 30 kép / mp sebességgel menti el a felvételeket helyben, noha a korlátozott internetes sávszélesség csak VHD 5 kép / mp sebességgel képes továbbítani akkor. Ennek az alapos felhasználói felületnek az előnyei révén a QNAP QVR rendszer egy népszerű biztonsági rendszer, amely számos üzletbe, otthonba és irodába integrálva szolgálja a könnyű hozzáférést.
Luis Martinez szerint a következő lépések végrehajtása esetén a felhasználó megismételheti a hozzáférés megtagadásával kapcsolatos jelszó összeomlását. Ehhez először meg kell futtatni a „python QNap_QVR_Client_5.1.1.30070.py” (sima szövegfájl 279 betűvel) python kódot, majd meg kell nyitni a QNap_QVR_Client_5.1.1.30070.txt fájlt a tartalom vágólapra másolásához. Ezután nyissa meg a QVR.exe> IP-címet a 10.10.10.1 / 80 fájlban, írja be a felhasználónevet „admin” néven, és illessze be a vágólapot a jelszó párbeszédpanelbe. Az OK gombra kattintva összeomlik a rendszer. Ez akkor fordul elő, mert a megadott jelszó túl hosszú.
Mivel ez egy helyi biztonsági rés, veszélyesvé válik, ha a felhasználó hitelesítő adatai nincsenek megfelelően védve, vagy ha a rendszert olyan rosszindulatú programok fertőzik meg, amelyek képesek emelni az engedélyeket és tetszőleges parancsokat futtatni az eljárás végrehajtásához.
Michael Wang, a QNAP Marketing technikai PR-menedzserének meghallgatásán arról értesültünk, hogy a DoS vágólap jelszó „csak egy PC-oldali szoftverhiba, felügyeleti szerveroldali megszakítás vagy érzékeny adatszivárgási aggályok nélkül. Biztosítottuk, hogy 'amíg a PC-kliens (a megfigyelési videó megtekintéséhez) összeomlik, a felügyeleti szerver (a rögzítéshez, külön a HW termékünkön található) a szokásos módon működik, és nem történik megszakítás.'
