Kritična QNAP QVR Pro ranjivost omogućava udaljeni neautorizovani pristup
Cyber Press prenosi da je QNAP objavio hitno upozorenje za kritičnu ranjivost CVE-2026-22898 u aplikaciji QVR Pro, koja može omogućiti udaljenim napadačima pristup pogođenim sistemima bez validne autentikacije. Problem je izazvan izostankom provere autentikacije u važnoj funkciji aplikacije, pa napadač može posebno pripremljenim mrežnim zahtevima da zaobiđe prijavu i pristupi osnovnim funkcijama sistema. Ranjivost pogađa QVR Pro 2.7.x, a QNAP je objavio ispravku u verziji 2.7.4.1485 i novijim.
Ovo je važna vest zato što kompromitacija sistema za video-nadzor ne otvara samo pitanje privatnosti i fizičke bezbednosti, već može postati i ulazna tačka za širi upad u mrežu. Ako je QNAP uređaj povezan sa drugim poslovnim sistemima i skladišti osetljive podatke, napadač preko jedne ranjive nadzorne aplikacije može doći do bočnog kretanja, krađe podataka ili daljeg ometanja rada.
- Odmah proveriti da li se u okruženju koristi QVR Pro 2.7.x i primeniti verziju 2.7.4.1485 ili noviju
- Tretirati sisteme za video-nadzor kao deo ozbiljne napadne površine, a ne kao izolovanu fizičku infrastrukturu
- Proveriti da li su QNAP uređaji nepotrebno izloženi mreži ili internetu i ograničiti pristup samo na pouzdane segmente i administratore
- Pregledati logove i konfiguraciju za znakove neautorizovanog pristupa, promena podešavanja kamera ili brisanja snimaka
- Preispitati mrežnu segmentaciju kako kompromitacija jednog nadzornog sistema ne bi vodila ka širem upadu u poslovnu infrastrukturu