VioStor NVR

Die Schwachstelle betrifft ältere QNAP-VioStor-NVR-Geräte – Netzwerk-Videorekorder zur Aufzeichnung von Überwachungskameras, die auf der QVR-Firmware der Generation 4 laufen. In dieser Firmware steckt eine Schwachstelle vom Typ OS-Befehlsinjektion: Über das Netzwerk lassen sich Eingaben so präparieren, dass sie nicht nur als harmlose Daten verarbeitet, sondern als Befehle des darunterliegenden Betriebssystems ausgeführt werden. Voraussetzung ist eine vorherige Anmeldung – ausnutzen kann den Defekt also ein authentifizierter Benutzer, der bereits über gültige Zugangsdaten verfügt. Gelingt der Angriff, führt das Gerät beliebige vom Angreifer übergebene Systembefehle aus, womit dieser die Kontrolle über den Rekorder erlangt. Betroffen sind ausschließlich die älteren VioStor-NVR-Modelle mit der genannten Firmware-Generation; in der nachfolgenden Firmware-Generation ist der Fehler behoben. Da solche Rekorder dauerhaft Videomaterial speichern und oft im Netz erreichbar sind, ist eine Übernahme besonders heikel.