Хакер #305. Многошаговые SQL-инъекции
Компания Qnap, производящая устройства NAS, исправила критические уязвимости в своей системе управления видео QVR. Баги могли использоваться для выполнения произвольных команд на уязвимом устройстве.
QVR позиционируется профессиональная платформа для IP‑видеонаблюдения, которая позволяет осуществлять видеонаблюдение в режиме реального времени, вести запись и воспроизводить видео, а также получать уведомления о тревоге от поддерживаемых IP-камер.
В общей сложности Qnap устранила три уязвимости, связанные с внедрением команд в QVR, две из которых набрали 9,8 балла из 10 возможных по шкале оценки уязвимостей CVSS.
Критические уязвимости получили идентификаторы CVE-2021-34351 и CVE-2021-34348. Обе позволяли удаленному злоумышленнику запускать команды в уязвимых системах, что в итоге могло привести к захвату полного контроля над устройством.
Третья исправленная проблема, CVE-2021-34349, относится к тому же классу, однако менее опасна (7,2 балла по шкале CVSS). Разница связана с привилегиями, необходимыми для эксплуатации багов: для критических уязвимостей повышенные права не нужны, тога как для использования третьей проблемы требуются высокие привилегии.
Разработчики отмечают, что критические уязвимости затрагивают определенные продукты с QVR, срок эксплуатации которых уже истек. Но, несмотря на то, что устройства больше не поддерживаются, многие клиенты все еще их используют, что в итоге и побудило компанию выпустить обновление (QVR 5.1.5 build 20210803).
Qnap не сообщает о каких-либо атаках на эти проблемы, но злоумышленники нередко начинают использовать баги в устройствах компании вскоре после публичного раскрытия информации о них. Поэтому разработчики рекомендуют установить обновление как можно скорее.