CVE-2019-7192

QNAP Photo Station

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-06-08

Официальное описание

QNAP NAS devices running Photo Station contain an improper access control vulnerability allowing remote attackers to gain unauthorized access to the system.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2019-7192 представляет собой критическую уязвимость типа Improper Access Control (ненадлежащий контроль доступа) в приложении QNAP Photo Station. Уязвимость позволяет удаленному неавторизованному злоумышленнику обойти механизмы аутентификации и получить несанкционированный доступ к файловой системе NAS.

Проблема заключается в недостаточной проверке входных данных в определенных API-запросах, что позволяет злоумышленнику просматривать конфиденциальные файлы или выполнять произвольный код в контексте системы, используя цепочку с другими уязвимостями (например, внедрение кода через манипуляцию параметрами сессии).

Как исправить

Основным способом устранения уязвимости является обновление приложения Photo Station до актуальной версии, в которой разработчик исправил ошибки контроля доступа.

  1. Войдите в веб-интерфейс QTS под учетной записью администратора.
  2. Откройте App Center.
  3. Нажмите на иконку поиска и введите Photo Station.
  4. Если доступно обновление, нажмите кнопку Update (Обновить).
  5. Убедитесь, что версия приложения соответствует или выше следующих значений:
  6. Photo Station 6.0.3 (и выше) для QTS 4.4.1
  7. Photo Station 5.2.11 (и выше) для QTS 4.3.4 - 4.3.6
  8. Photo Station 5.4.9 (и выше) для QTS 4.3.0 - 4.3.3

Также рекомендуется обновить саму операционную систему QTS до последней доступной версии через Control Panel > System > Firmware Update.

Временные меры

Если немедленное обновление невозможно, необходимо минимизировать риски с помощью следующих шагов:

  1. Отключите приложение Photo Station в App Center, если оно не является критически важным для бизнес-процессов.
  2. Закройте доступ к NAS из внешней сети (интернета). Удалите правила проброса портов (Port Forwarding) на роутере для портов 80, 443, 8080 и 4433.
  3. Отключите службу UPnP на NAS:
/etc/init.d/upnpd.sh stop
  1. Используйте VPN (например, QVPN Service) для удаленного доступа к ресурсам NAS вместо прямой публикации веб-интерфейса.
  2. Настройте блокировку IP-адресов после неудачных попыток входа в разделе Control Panel > System > Security > IP Access Protection.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей