QNAP исправляет критические ошибки в решении для видеонаблюдения QVR

22
QNAP исправляет критические ошибки в решении для видеонаблюдения QVR

Производитель сетевых хранилищ (NAS) QNAP исправил свою систему управления видео QVR для устранения двух критически важных проблем, которые могут быть использованы для выполнения произвольных команд.

QNAP продвигает свое программное обеспечение QVR как профессиональное решение, которое позволяет осуществлять видеонаблюдение в реальном времени, запись, воспроизведение и уведомления о тревоге в сочетании с поддерживаемыми IP-камерами.

Всего три проблемы безопасности

QNAP объявила сегодня, что устранила три уязвимости, связанные с внедрением команд в программное обеспечение QVR для управления видеонаблюдением, две из которых получили оценку критической серьезности 9,8 из 10.

Эта пара критических ошибок, отслеживаемых как CVE-2021-34351 и CVE-2021-34348, может позволить удаленному злоумышленнику запускать команды в уязвимых системах, которые могут привести к получению полного контроля над устройством.

Помимо этих двух проблем безопасности, QNAP исправил еще одну, отслеживаемую как CVE-2021-34349 . Он из того же класса, но с меньшей степенью серьезности — 7,2 из 10.

Разница в серьезности связана с привилегиями, необходимыми для использования ошибок: для критических ошибок не требуется, в то время как злоумышленнику, использующему серьезную проблему, требуются высокие привилегии.

QNAP отмечает, что две критические уязвимости затрагивают определенные продукты с QVR, срок эксплуатации которых истек (EoL). Даже если устройства больше не поддерживаются, многие клиенты, вероятно, все еще используют их, что побудило компанию выпустить обновление программного обеспечения (QVR 5.1.5 build 20210803).

«Сообщалось о двух уязвимостях, связанных с внедрением команд, которые затрагивают определенные устройства QNAP EOL, на которых работает QVR. В случае эксплуатации эти уязвимости позволяют удаленным злоумышленникам запускать произвольные команды»- QNAP

Привлекательные устройства

При условии, что устройства используются для видеонаблюдения предприятиями различного размера (предприятия, SMB, SOHO), злоумышленники могут быть заинтересованы в использовании этих уязвимостей.

Ранее в этом году в рамках кампании, известной как программа-вымогатель Qlocker, банда киберпреступников использовала уязвимость (жестко закодированные учетные данные) в устройствах QNAP NAS для шифрования файлов с помощью архивной утилиты 7-Zip.

Жертвы, в основном потребители и владельцы малого и среднего бизнеса, попросили всего 500 долларов за восстановление файлов — очень небольшую цену, которую многие были готовы заплатить.

По оценкам, участники программы-вымогателя Qlocker заработали не менее 260 000 долларов всего за пять дней в виде выкупа, полученного от своих жертв.

Еще в марте хакеры слили кадры после получения доступа к камерам наблюдения в реальном времени, которыми управляет Verkada и которые широко используются в США крупными компаниями (Tesla, Equinox), медицинскими клиниками, тюрьмами и банками.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here