H QNAP κυκλοφόρησε πολλές συμβουλές ασφαλείας σήμερα, μία από αυτές για ένα κρίσιμο ζήτημα ασφαλείας που επιτρέπει την απομακρυσμένη εκτέλεση αυθαίρετων εντολών σε ευάλωτα συστήματα QVR, τη λύση επιτήρησης βίντεο της εταιρείας που φιλοξενείται σε συσκευή NAS.
Το σύστημα επιτήρησης βίντεο QVR IP υποστηρίζει πολλαπλά κανάλια τροφοδοσίας και αποκωδικοποίηση βίντεο μεταξύ πλατφορμών και έχει σχεδιαστεί για την παρακολούθηση τόσο του οικιακού όσο και του περιβάλλοντος γραφείου.
Η ευπάθεια παρακολουθείται ως CVE-2022-27588 και έχει βαθμολογία κρίσιμης σοβαρότητας 9,8. Επηρεάζει εκδόσεις QVR παλαιότερες από 5.1.6 έκδοση 20220401.
H ανακοίνωση της QNAP εξηγεί ότι “η ευπάθεια έχει αναφερθεί ότι επηρεάζει το QNAP VS Series NVR που εκτελεί QVR. Εάν γίνει εκμετάλλευση, αυτή η ευπάθεια επιτρέπει στους απομακρυσμένους εισβολείς να εκτελούν αυθαίρετες εντολές.”
Αυτός ο τύπος ελαττώματος ασφαλείας επιτρέπει σε έναν παράγοντα απειλής να εκτελεί εντολές στον στόχο για αλλαγή ρυθμίσεων, πρόσβαση σε ευαίσθητες πληροφορίες ή ανάληψη ελέγχου της συσκευής. Ανάλογα με το πλαίσιο, θα μπορούσε επίσης να χρησιμοποιηθεί για να εμβαθύνετε στο δίκτυο.
Όπως έχουμε δει στο παρελθόν, τα κρίσιμα τρωτά σημεία στα συστήματα QNAP αξιοποιούνται σχεδόν αμέσως σε κυβερνοεπιθέσεις όταν μια εκμετάλλευση γίνεται δημόσια διαθέσιμη.
