Η QNAP κυκλοφόρησε μια κρίσιμη συμβουλή ασφαλείας που αντιμετωπίζει μια σοβαρή ευπάθεια στο λογισμικό επιτήρησης QVR Pro.
Παρακολούθηση ως CVE-2026-22898, αυτό το ελάττωμα επιτρέπει σε απομακρυσμένους, μη επιβεβαιωμένους εισβολείς να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση στα επηρεαζόμενα συστήματα.
Χρήστες που βασίζονται στο QVR Pro 2.7. Το x πρέπει να εφαρμόσει αμέσως τις πιο πρόσφατες ενημερώσεις κώδικα για να ασφαλίσει τα συνδεδεμένα στο δίκτυο περιβάλλοντα αποθήκευσης από πιθανές εισβολές.
Το ελάττωμα ασφαλείας προέρχεται από έναν έλεγχο ταυτότητας που λείπει για μια κρίσιμη λειτουργία εντός της εφαρμογής QVR Pro. Ερευνητές ασφαλείας στο FuzzingLabs ανακάλυψαν και ανέφεραν την ευπάθεια, υπογραμμίζοντας μια σημαντική παράβλεψη στους μηχανισμούς ελέγχου πρόσβασης του λογισμικού.
Επειδή η διαδικασία ελέγχου ταυτότητας δεν εφαρμόζεται σωστά ή παρακάμπτεται πλήρως για ορισμένες λειτουργίες, ένας απομακρυσμένος παράγοντας απειλής δεν χρειάζεται έγκυρα διαπιστευτήρια για να αλληλεπιδράσει με το ευάλωτο τελικό σημείο.
Κρίσιμη ευπάθεια QNAP QVR Pro
Αυτός ο τύπος κενού ασφαλείας είναι ιδιαίτερα επικίνδυνος για εφαρμογές εποπτείας επιχειρήσεων, οι οποίες συχνά βρίσκονται στη διασταύρωση εξωτερικών συνδέσεων δικτύου και εξαιρετικά ευαίσθητων εσωτερικών δεδομένων.
Εάν γίνει επιτυχής εκμετάλλευση, το CVE-2026-22898 παρέχει σε έναν εισβολέα άμεση, μη εξουσιοδοτημένη πρόσβαση στο σύστημα QNAP που εκτελεί την υπηρεσία QVR Pro.
Μόλις εισέλθει στο περιβάλλον, ο παράγοντας απειλής θα μπορούσε να χειριστεί τις διαμορφώσεις επιτήρησης, να αποκτήσει πρόσβαση σε ζωντανές ή εγγεγραμμένες ροές βίντεο και ενδεχομένως να περιστραφεί σε άλλες συνδεδεμένες συσκευές στο τοπικό δίκτυο.
Οι συσκευές αποθήκευσης που συνδέονται με το δίκτυο αποτελούν συχνούς στόχους για ομάδες ransomware, χειριστές botnet και εκβιαστές δεδομένων.
Αν αφήσετε αυτήν την κρίσιμη ευπάθεια χωρίς επιδιόρθωση, αυξάνετε σημαντικά τον κίνδυνο πλήρους παραβίασης του συστήματος, μη εξουσιοδοτημένης κλοπής δεδομένων και επακόλουθης ανάπτυξης κακόβουλων ωφέλιμων φορτίων στο εταιρικό δίκτυο.
Η QNAP έχει επιλύσει επίσημα αυτό το ζήτημα στην πιο πρόσφατη έκδοση λογισμικού και προτρέπει θερμά όλους τους διαχειριστές συστήματος που χρησιμοποιούν το QVR Pro 2.7.x να αναβαθμίσουν στην έκδοση 2.7.4.1485 ή μεταγενέστερη αμέσως.
Η ενημερωμένη έκδοση κώδικα επαναφέρει τους απαραίτητους ελέγχους ελέγχου ταυτότητας για να αποτρέψει τη μη εξουσιοδοτημένη πρόσβαση σε κρίσιμες λειτουργίες εφαρμογής.
Για να εκτελέσουν την ενημέρωση, οι διαχειριστές πρέπει να συνδεθούν στη διεπαφή ήρωα QTS ή QuTS με δικαιώματα διαχειριστή.
Από τον κύριο πίνακα εργαλείων, μεταβείτε στο App Center και χρησιμοποιήστε τη λειτουργία αναζήτησης για να εντοπίσετε την εφαρμογή QVR Pro. Εάν το σύστημα εκτελεί μια ευάλωτη έκδοση, θα εμφανιστεί ενεργά μια επιλογή ενημέρωσης.
Οι διαχειριστές θα πρέπει να ξεκινήσουν την ενημέρωση, να περιμένουν το μήνυμα επιβεβαίωσης και να επιτρέψουν στο σύστημα να εγκαταστήσει την επιδιορθωμένη εφαρμογή με ασφάλεια.
Η QNAP συμβουλεύει να επαληθεύσετε την επιτυχή εγκατάσταση της ενημέρωσης λογισμικού για να διασφαλίσετε ότι το περιβάλλον προστατεύεται πλήρως από προσπάθειες απομακρυσμένης εκμετάλλευσης.
