QNAP QVR-Überwachungssystem. QNAP-Sicherheit
Luis Martinez hat im QNAP QVR Professional Video Management Solution Client 5.1.1.30070 unter Windows 10 Pro x64 eine lokale Sicherheitsanfälligkeit bezüglich Denial-of-Service-Kennwörtern entdeckt. Es wurde festgestellt, dass die Sicherheitsanfälligkeit eine Denial-of-Service-Antwort zurückgibt, wenn ein Kennwort für die Zwischenablage eingegeben wurde. Diese Sicherheitsanfälligkeit führt zum Absturz der Software und verhindert, dass sie die Funktionen und Dienste ausführt, die sie für den Benutzer ausführen soll. Der Sicherheitsanfälligkeit wurde noch kein CVE-Code zugewiesen, und es wurde kein Schadensbegrenzungs- oder Update-Patch veröffentlicht, um das Problem zu beheben.
Das QNAP QVR Version 5.1 client ist ein professionelles Videomanagementsystem für hochauflösendes und Fischaugen-Sicherheitsmaterial, auf das alle in einem Fenster angezeigt werden können. Mit dem QVR-System können Benutzer mehrere IP-identifizierbare Kameras in einer Live-Ansicht über einen Webbrowser in Echtzeit verwalten und überwachen. Mit dem Client können Benutzer die Surround-Kameras PTZ, Fixed und Fisheye 360 steuern und auf Null setzen, um die vorhandenen Szenen gründlich und flexibel im Auge zu behalten. Eine intelligente Aufnahmefunktion erhöht die Videoauslösung, die übertragen wird, wenn Alarme ausgelöst werden, ein intuitiver Wiedergabemodus lokalisiert den Notpunkt in einem aufgenommenen Filmmaterial und die doppelte Aufnahmefunktion speichert Filmmaterial lokal in HD 30fps, obwohl die begrenzte Internetbandbreite nur VHD 5fps übertragen kann damals. Durch diese gründliche Benutzeroberfläche ist das QNAP QVR-System ein beliebtes Sicherheitssystem, das in viele Geschäfte, Privathaushalte und Büros integriert ist, um den Zugriff zu erleichtern.
Laut Luis Martinez kann ein Benutzer, wenn die folgenden Schritte ausgeführt werden, den Absturz der Kennwortverweigerung des Zugriffs reproduzieren. Dazu muss zuerst der Python-Code „python QNap_QVR_Client_5.1.1.30070.py“ (eine Nur-Text-Datei mit 279 Buchstaben) ausgeführt und anschließend die Datei QNap_QVR_Client_5.1.1.30070.txt geöffnet werden, um den Inhalt in die Zwischenablage zu kopieren. Öffnen Sie anschließend in 10.10.10.1 / 80 QVR.exe> IP-Adresse, geben Sie den Benutzernamen als 'admin' ein und fügen Sie die Zwischenablage in das Dialogfeld 'Kennwort' ein. Durch Drücken von OK stürzt das System ab. Dies tritt auf, wenn das eingegebene Passwort zu lang ist.
Da es sich um eine lokale Sicherheitsanfälligkeit handelt, wird es gefährlich, wenn die Anmeldeinformationen des Benutzers nicht gut geschützt sind oder wenn das System mit Malware infiziert ist, die Berechtigungen erhöhen und beliebige Befehle ausführen kann, um dieses Verfahren auszuführen.
Als wir vom technischen PR-Manager von QNAP Marketing, Michael Wang, hörten, wurden wir darüber informiert, dass das DoS-Kennwort für die Zwischenablage „nur ein PC-seitiger Softwarefehler ohne Unterbrechung des Überwachungsservers oder Bedenken hinsichtlich sensibler Datenlecks“ ist. Wir haben sichergestellt, dass „während der PC-Client (zum Anzeigen von Überwachungsvideos) abgestürzt ist, der Überwachungsserver (zum Aufzeichnen, der sich separat auf unserem HW-Produkt befindet) wie gewohnt ausgeführt wird und keine Unterbrechungen auftreten.“
