QNAP QVR-bewakingssysteem. QNAP-beveiliging
Een lokale wachtwoord denial of service-kwetsbaarheid werd ontdekt door Luis Martinez in de QNAP QVR Professional Video Management Solution Client 5.1.1.30070 op Windows 10 Pro x64 es. De kwetsbaarheid bleek een denial of service-reactie te retourneren wanneer een klembordwachtwoord werd ingevoerd. Deze kwetsbaarheid zorgt ervoor dat de software crasht, waardoor deze niet de functies en services kan uitvoeren die deze voor de gebruiker moet uitvoeren. Er is nog geen CVE-code aan de kwetsbaarheid toegewezen en er is geen beperkende of updatepatch uitgebracht om het probleem op te lossen.
De QNAP QVR versie 5.1 client is een professioneel videobeheersysteem voor hoge resolutie en fisheye-beveiligingsbeelden, toegankelijk voor weergave in één venster. Met het QVR-systeem kunnen gebruikers verschillende IP-identificeerbare camera's in een liveweergave via een webbrowser in realtime beheren en bewaken. De client stelt gebruikers in staat om de PTZ-, vaste en fisheye 360-surroundcamera's te bedienen en op nul te zetten om de scènes die voorhanden zijn grondig en flexibel in de gaten te houden. Een slimme opnamefunctie verhoogt de videoresolutie die wordt verzonden wanneer een alarm wordt geactiveerd, een intuïtieve afspeelmodus lokaliseert het noodpunt in een opgenomen beeldmateriaal en de dubbele opnamefunctie slaat lokaal beeldmateriaal op in HD 30fps, hoewel de beperkte internetbandbreedte alleen VHD 5fps kan verzenden op dat moment. Door het voordeel van deze grondige gebruikersinterface is het QNAP QVR-systeem een populair beveiligingssysteem dat in veel winkels, huizen en kantoren is geïntegreerd vanwege de gemakkelijke toegang die het dient.
Volgens Luis Martinez kan een gebruiker, als de volgende stappen worden uitgevoerd, de crash van het wachtwoord voor het weigeren van toegang reproduceren. Dit vereist eerst het uitvoeren van de python-code 'python QNap_QVR_Client_5.1.1.30070.py' (een gewoon tekstbestand met 279 letters) en vervolgens het openen van het bestand QNap_QVR_Client_5.1.1.30070.txt om de inhoud naar het klembord te kopiëren. Open vervolgens QVR.exe> IP-adres in 10.10.10.1 / 80, voer de gebruikersnaam in als 'admin' en plak het klembord in het wachtwoorddialoogvenster. Als u op OK drukt, crasht het systeem. Dit gebeurt omdat het ingevoerde wachtwoord te lang is.
Aangezien dit een lokale kwetsbaarheid is, wordt het gevaarlijk als de inloggegevens van de gebruiker niet goed worden beschermd of als het systeem is geïnfecteerd met malware die machtigingen kan verhogen en willekeurige opdrachten kan uitvoeren om deze procedure uit te voeren.
Toen we hoorden van de technisch PR-manager van QNAP Marketing, Michael Wang, kregen we te horen dat het klembordwachtwoord DoS 'slechts een softwarefout aan de pc-zijde is zonder enige onderbreking van de bewakingsserver of het lekken van gevoelige gegevens'. We waren er zeker van dat 'terwijl de pc-client (voor het bekijken van bewakingsvideo) is gecrasht, de bewakingsserver (voor opname, apart op ons hardwareproduct) werkt zoals gewoonlijk en er geen onderbrekingen optreden.'
