QNAP QVR Surveillance System. QNAP Security
Ang isang lokal na pagtanggi ng password sa kahinaan ng serbisyo ay natuklasan ni Luis Martinez sa QNAP QVR Professional Video Management Solution Client 5.1.1.30070 sa Windows 10 Pro x64 es. Ang kahinaan ay natagpuan upang ibalik ang isang pagtanggi ng tugon sa serbisyo nang ipasok ang isang clipboard password. Ang kahinaan na ito ay sanhi ng pag-crash ng software na pinipigilan ito mula sa pagganap ng mga pagpapaandar at serbisyo na inilaan upang isagawa para sa gumagamit. Ang isang CVE code ay hindi pa nakatalaga sa kahinaan hanggang ngayon at walang pagpapagaan o pag-update ng patch ang pinakawalan upang malutas ang isyu.
Ang QNAP QVR bersyon 5.1 Ang client ay isang propesyonal na sistema ng pamamahala ng video para sa mataas na resolusyon at fisheye security footage, naa-access para matingnan ang lahat sa isang window. Pinapayagan ng sistema ng QVR ang mga gumagamit na pamahalaan at subaybayan ang ilang mga makikilalang camera ng IP sa isang live na pagtingin sa pamamagitan ng isang web browser sa real time. Pinapayagan ng kliyente ang mga gumagamit na kontrolin at zero sa paggamit ng PTZ, naayos, at fisheye 360 na mga nakapaligid na kamera upang mapanatili ang isang masusing at may kakayahang umangkop na mata sa mga eksena sa kamay. Ang isang tampok na matalinong pagrekord ay nagdaragdag ng resolusyon ng video na nakukuha kapag ang mga alarma ay na-trigger, isang intuitive na mode ng pag-playback ang pinpoints ang punto ng pagkabalisa sa isang naitala na footage, at ang tampok na dalawahang pag-record ay nakakatipid ng footage sa HD 30fps nang lokal kahit na ang limitadong internet bandwidth ay nakapagpadala lamang ng VHD 5fps sa oras na. Sa pamamagitan ng pakinabang ng masusing interface ng gumagamit na ito, ang QNAP QVR system ay isang tanyag na sistema ng seguridad na isinama sa maraming mga tindahan, bahay, at tanggapan para sa kadalian ng pag-access na hinahatid nito.
Ayon kay Luis Martinez, kung isinasagawa ang mga sumusunod na hakbang, maaaring kopyahin ng isang gumagamit ang pagtanggi sa password ng pag-crash ng access. Ito ay unang nangangailangan ng pagpapatakbo ng python code na 'python QNap_QVR_Client_5.1.1.30070.py' (isang payak na text file na may 279 titik) at pagkatapos ay buksan ang QNap_QVR_Client_5.1.1.30070.txt file upang kopyahin ang nilalaman sa clipboard. Susunod, buksan ang QVR.exe> IP address sa 10.10.10.1 / 80, ipasok ang username bilang 'admin' at i-paste ang clipboard sa kahon ng dayalogo ng password. Ang pagpindot ng okay pagkatapos ay mag-crash ng system. Ito ay nangyayari dahil ang password na ipinasok ay masyadong mahaba.
Dahil ito ay isang lokal na kahinaan, naging mapanganib kung ang mga kredensyal ng gumagamit ay hindi mahusay na protektado o kung ang system ay nahawahan ng malware na nakapagtaas ng mga pahintulot at nagpapatakbo ng di-makatwirang mga utos upang maipatupad ang pamamaraang ito.
Sa pagdinig mula sa Teknikal na PR Manager ng QNAP Marketing, si Michael Wang, napag-alaman kami na ang clipboard na password na DoS ay 'isang bug ng software na nasa panig lamang ng PC nang walang anumang pagkagambala sa panig ng server o pagsubaybay sa sensitibong data.' Tiniyak namin na 'habang ang PC client (para sa panonood ng video ng pagsubaybay) ay na-crash, ang server ng pagsubaybay (para sa pagrekord, na magkakahiwalay na matatagpuan sa aming produktong HW) ay tumatakbo tulad ng dati at walang mga pagkakagambala na nagaganap.'
