QNAP saat ini sedang menyelidiki CVE-2026-31431, yang dikenal juga sebagai Copy Fail. Kami ingin memberikan informasi tambahan bagi pengguna yang khawatir tentang dampak kerentanan ini pada perangkat QNAP NAS mereka.
Secara singkat, sebagian besar model QNAP NAS tidak terpengaruh oleh kerentanan ini.
Masalah ini hanya berdampak pada beberapa model QNAP NAS berbasis ARM yang menjalankan versi kernel Linux tertentu. Evaluasi kami saat ini adalah sebagai berikut:
- Semua model QNAP NAS berbasis x86 tidak terpengaruh.
- NAS berbasis ARM yang menjalankan QTS 4.x tidak terpengaruh.
- Masalah ini hanya berlaku bagi model NAS berbasis ARM tertentu yang menjalankan versi kernel yang terdampak.
Untuk informasi terbaru, silakan merujuk pada Security Advisory resmi QNAP.
https://www.qnap.com/go/security-advisory/qsa-26-16
Tentang Kerentanan Ini
Kerentanan ini merupakan masalah peningkatan hak akses lokal.
Artinya, agar penyerang dapat mengeksploitasi kerentanan ini, ia harus sudah bisa menjalankan kode di NAS sebagai pengguna biasa, bukan sebagai administrator. Kerentanan ini tidak dapat dieksploitasi langsung melalui internet tanpa penyerang terlebih dahulu mendapatkan akses lokal.
Pada perangkat QNAP NAS, akses SSH dan Telnet secara default hanya diberikan kepada pengguna di grup administrator. Namun, jika Anda menjalankan layanan atau kontainer yang dapat diakses oleh pengguna lain atau dari jaringan eksternal, kami menyarankan Anda untuk memeriksa status eksposur sistem dan aplikasi Anda.
Tindakan yang Disarankan
Sebagai langkah mitigasi umum, kami merekomendasikan:
- Jangan memberikan akses shell kepada pengguna non-administrator kecuali benar-benar diperlukan.
- Hanya gunakan image container dari sumber tepercaya.
- Periksa pengaturan Container Station dan pastikan pengguna yang tidak diperlukan tidak dapat mengakses container.
- Selalu perbarui aplikasi, container, dan layanan Anda ke versi terbaru.
- Nonaktifkan layanan atau aplikasi yang tidak digunakan.
- Jika Anda tidak menggunakan Web Server internal, pertimbangkan untuk menonaktifkannya melalui Control Panel > Web Server.
- Tempatkan NAS di belakang firewall dan jangan terhubung langsung ke internet.
- Selalu periksa security advisory resmi dan segera terapkan pembaruan keamanan yang tersedia.
QNAP saat ini sedang menyiapkan pembaruan keamanan. Informasi tambahan atau perbaikan akan diperbarui pada advisory resmi segera setelah tersedia.
Jika Anda memiliki kekhawatiran terkait konfigurasi sistem tertentu, silakan hubungi QNAP Support.
Demi keamanan, jangan bagikan informasi sensitif seperti alamat IP publik, nama pengguna, nomor seri perangkat, log lengkap, atau detail konfigurasi sistem di forum publik.
— QNAP Community Team
Informasi berdasarkan dari QNAP Product Security Incident Response Team