QNAP saat ini sedang menyelidiki CVE-2026-31431, yang juga dikenal sebagai Copy Fail. Kami ingin memberikan penjelasan lebih lanjut bagi pengguna yang mungkin khawatir apakah kerentanan ini berdampak pada perangkat QNAP NAS mereka.
Singkatnya, sebagian besar model QNAP NAS tidak terpengaruh oleh kerentanan ini.
Masalah ini hanya berdampak pada model QNAP NAS berbasis ARM tertentu yang menggunakan versi Linux kernel yang terdampak. Berdasarkan evaluasi saat ini:
- Semua model QNAP NAS berbasis x86 tidak terpengaruh.
- NAS berbasis ARM yang menjalankan QTS 4.x tidak terpengaruh.
- Masalah ini hanya berlaku untuk model NAS berbasis ARM tertentu yang menggunakan versi kernel yang terdampak.
Silakan merujuk pada pengumuman keamanan resmi QNAP untuk informasi terbaru:
https://www.qnap.com/go/security-advisory/qsa-26-16
Tentang Kerentanan Ini
Kerentanan ini termasuk kerentanan eskalasi hak akses lokal.
Artinya, penyerang harus terlebih dahulu dapat menjalankan kode di NAS sebagai pengguna biasa (bukan administrator) sebelum dapat memanfaatkan kerentanan ini lebih lanjut. Kerentanan ini bukan tipe yang dapat dieksploitasi langsung dari internet tanpa akses lokal terlebih dahulu.
Pada perangkat QNAP NAS, akses SSH dan Telnet secara default hanya diizinkan untuk pengguna dari grup administrator. Namun, pengguna tetap disarankan untuk memeriksa paparan sistem dan aplikasi mereka, terutama jika Anda menjalankan layanan atau container yang dapat diakses oleh pengguna lain atau dari jaringan eksternal.
Rekomendasi
Untuk mengurangi risiko secara keseluruhan, kami menyarankan langkah-langkah berikut:
- Kecuali memang perlu, jangan berikan akses shell kepada pengguna non-administrator.
- Hanya jalankan image container yang berasal dari sumber tepercaya.
- Periksa pengaturan Container Station, hindari akses tidak perlu dari pengguna ke container.
- Pastikan aplikasi, container, dan layanan selalu dalam versi terbaru.
- Nonaktifkan layanan atau aplikasi yang tidak digunakan.
- Jika Anda tidak menggunakan Web Server bawaan, disarankan untuk menonaktifkannya di Control Panel > Web Server.
- Tempatkan NAS di belakang firewall untuk menghindari paparan langsung ke internet.
- Selalu pantau pengumuman keamanan resmi dan segera instal pembaruan keamanan setelah dirilis.
QNAP sedang menyiapkan pembaruan keamanan. Jika ada informasi atau patch versi baru tersedia, pengumuman keamanan resmi akan diperbarui.
Jika Anda memiliki pertanyaan tentang pengaturan sistem tertentu, silakan kontak QNAP Support untuk bantuan lebih lanjut.
Demi keamanan, jangan unggah informasi sensitif secara publik di forum, seperti alamat IP publik, nama pengguna, nomor seri perangkat, log lengkap, atau pengaturan sistem secara detail.
— Tim Komunitas QNAP
Konten disusun berdasarkan informasi dari QNAP Product Security Incident Response Team