CVE-2019-7194

QNAP Photo Station

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-06-08

Официальное описание

QNAP devices running Photo Station contain an external control of file name or path vulnerability allowing remote attackers to access or modify system files.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2019-7194 представляет собой критическую уязвимость типа «External Control of File Name or Path» (внешний контроль имени файла или пути) в приложении QNAP Photo Station.

Проблема заключается в недостаточной фильтрации входных данных, передаваемых в параметрах HTTP-запросов. Это позволяет неавторизованному удаленному злоумышленнику манипулировать путями к файлам и выходить за пределы предназначенного каталога (Path Traversal). В результате атакующий может получить несанкционированный доступ на чтение к конфиденциальным системным файлам или изменить их, что в худшем сценарии ведет к полной компрометации сетевого хранилища (NAS).

Как исправить

Основным способом устранения уязвимости является обновление микропрограммы (QTS) и самого приложения Photo Station до версий, в которых ошибка была исправлена производителем.

  1. Обновите Photo Station через App Center:
  2. Откройте веб-интерфейс QTS.
  3. Перейдите в App Center.
  4. Найдите Photo Station и нажмите Обновить (Update).

  5. Убедитесь, что версия приложения соответствует или выше следующих:

    • Photo Station 6.0.3 (и выше)
    • Photo Station 5.2.11 (и выше)
    • Photo Station 5.4.9 (и выше)

  6. Обновите операционную систему QTS до актуальной версии:

  7. Перейдите в Панель управления (Control Panel).
  8. Выберите Система (System) -> Обновление прошивки (Firmware Update).
  9. Нажмите Проверить наличие обновлений (Check for Update) и установите последнюю доступную версию.

Временные меры

Если немедленное обновление невозможно, необходимо минимизировать векторы атаки следующими действиями:

  1. Отключите приложение Photo Station:

  2. В App Center найдите Photo Station, нажмите на стрелку рядом с кнопкой «Открыть» и выберите Остановить (Stop).

  3. Ограничьте доступ к NAS из внешних сетей:

  4. Отключите проброс портов (Port Forwarding) на роутере для портов 80, 443, 8080 и 8081.

  5. Отключите службу myQNAPcloud, чтобы исключить доступ к устройству через интернет.

  6. Используйте VPN для удаленного доступа:

  7. Настройте QVPN Service на устройстве и подключайтесь к NAS только через зашифрованный туннель.

  8. Проверьте систему на наличие подозрительных файлов в директории /tmp или необычных заданий в crontab:

crontab -l


ls -la /tmp
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей