QNAP QVR Security Client 5.1 พบว่ามีความเสี่ยงต่อ DoS รหัสผ่านคลิปบอร์ด

ข่าว
ความปลอดภัย / QNAP QVR Security Client 5.1 พบว่ามีความเสี่ยงต่อ DoS รหัสผ่านคลิปบอร์ด อ่าน 2 นาที

ระบบเฝ้าระวัง QNAP QVR QNAP ความปลอดภัย



วิธีเลือกทั้งหมดบน mac

Luis Martinez ค้นพบช่องโหว่การปฏิเสธรหัสผ่านในเครื่องใน QNAP QVR Professional Video Management Solution Client 5.1.1.30070 บน Windows 10 Pro x64 es พบช่องโหว่ที่ส่งคืนการตอบสนองการปฏิเสธบริการเมื่อป้อนรหัสผ่านคลิปบอร์ด ช่องโหว่นี้ทำให้ซอฟต์แวร์ขัดข้องทำให้ไม่สามารถทำหน้าที่และบริการที่ตั้งใจจะดำเนินการให้กับผู้ใช้ ยังไม่มีการกำหนดรหัส CVE ให้กับช่องโหว่ในขณะนี้และยังไม่มีการปล่อยการบรรเทาหรือปรับปรุงโปรแกรมแก้ไขเพื่อแก้ไขปัญหา

QNAP QVR เวอร์ชัน 5.1.2 ไคลเอนต์เป็นระบบการจัดการวิดีโอระดับมืออาชีพสำหรับวิดีโอความละเอียดสูงและความปลอดภัยแบบฟิชอายซึ่งสามารถเข้าถึงได้เพื่อดูทั้งหมดในหน้าต่างเดียว ระบบ QVR ช่วยให้ผู้ใช้สามารถจัดการและตรวจสอบกล้องที่ระบุตัวตน IP หลายตัวในมุมมองสดผ่านเว็บเบราว์เซอร์แบบเรียลไทม์ ไคลเอนต์ช่วยให้ผู้ใช้สามารถควบคุมและไม่มีศูนย์ในการใช้กล้องเซอร์ราวด์ PTZ แบบคงที่และฟิชอาย 360 เพื่อจับตาดูฉากที่อยู่ในมืออย่างละเอียดและยืดหยุ่น คุณสมบัติการบันทึกอัจฉริยะช่วยเพิ่มความละเอียดของวิดีโอที่ส่งเมื่อมีการเตือนภัยโหมดการเล่นที่ใช้งานง่ายจะระบุจุดที่เกิดปัญหาในวิดีโอที่บันทึกไว้และคุณสมบัติการบันทึกแบบคู่จะบันทึกวิดีโอในรูปแบบ HD 30fps ในเครื่องแม้ว่าแบนด์วิดท์อินเทอร์เน็ตที่ จำกัด จะสามารถส่งผ่าน VHD 5fps ได้เท่านั้น ในเวลานั้น. ด้วยประโยชน์ของอินเทอร์เฟซผู้ใช้ที่ละเอียดถี่ถ้วนนี้ระบบ QNAP QVR เป็นระบบรักษาความปลอดภัยยอดนิยมที่รวมอยู่ในร้านค้าบ้านและสำนักงานจำนวนมากเพื่อความสะดวกในการเข้าถึงที่ให้บริการ



ตาม Luis Martinez หากดำเนินการตามขั้นตอนต่อไปนี้ผู้ใช้สามารถสร้างรหัสผ่านที่ปฏิเสธการเข้าถึงได้ ขั้นแรกต้องรันโค้ด python“ python QNap_QVR_Client_5.1.1.30070.py” (ไฟล์ข้อความธรรมดาที่มี 279 ตัวอักษร) จากนั้นเปิดไฟล์ QNap_QVR_Client_5.1.1.30070.txt เพื่อคัดลอกเนื้อหาไปยังคลิปบอร์ด จากนั้นเปิด QVR.exe> ​​ที่อยู่ IP ใน 10.10.10.1 / 80 ป้อนชื่อผู้ใช้เป็น“ ผู้ดูแลระบบ” และวางคลิปบอร์ดลงในกล่องโต้ตอบรหัสผ่าน กดโอเคแล้วระบบล่ม กรณีนี้เกิดขึ้นเนื่องจากรหัสผ่านที่ป้อนยาวเกินไป



เนื่องจากนี่เป็นช่องโหว่ในเครื่องจึงกลายเป็นอันตรายหากข้อมูลรับรองของผู้ใช้ไม่ได้รับการปกป้องอย่างดีหรือหากระบบติดมัลแวร์ที่สามารถยกระดับสิทธิ์และเรียกใช้คำสั่งตามอำเภอใจเพื่อดำเนินการตามขั้นตอนนี้



เมื่อได้ยินจากผู้จัดการฝ่ายประชาสัมพันธ์ด้านเทคนิคของการตลาด QNAP Michael Wang เราได้รับแจ้งว่ารหัสผ่านของคลิปบอร์ด DoS เป็น 'ข้อบกพร่องของซอฟต์แวร์บนพีซีเท่านั้นที่ไม่มีการสอดส่องด้านเซิร์ฟเวอร์หรือข้อกังวลเกี่ยวกับข้อมูลรั่วไหล เรามั่นใจว่า“ ในขณะที่ไคลเอนต์พีซี (สำหรับการดูวิดีโอเฝ้าระวัง) ขัดข้องเซิร์ฟเวอร์เฝ้าระวัง (สำหรับการบันทึกซึ่งอยู่แยกต่างหากในผลิตภัณฑ์ HW ของเรา) จะทำงานตามปกติและไม่มีการหยุดชะงักเกิดขึ้น”