CometSoul

make IT easy

  • Bahasa Indonesia
  • English

    • QNAP Rilis Perbaikan Untuk Temuan 7 Celah Keamanan di Ajang Pwn2Own Ireland 2025

    by

    Juni Artawan
    in

    QNAP resmi merilis pembaruan keamanan untuk menutup tujuh kerentanan zero-day yang sebelumnya dimanfaatkan oleh peneliti keamanan untuk meretas perangkat Network-Attached Storage (NAS) QNAP dalam ajang Pwn2Own Ireland 2025. Karena sifatnya yang sangat serius, pengguna disarankan melakukan pembaruan sesegera mungkin untuk menghindari risiko serangan.

    Kerentanan Zero-Day yang Ditambal QNAP

    Dalam pengumumannya, QNAP menjelaskan bahwa celah ini memengaruhi beberapa komponen penting. Kerentanan tersebut berdampak pada sistem operasi QTS dan QuTS hero (CVE-2025-62847, CVE-2025-62848, CVE-2025-62849). Selain itu, beberapa aplikasi bawaan QNAP ikut terdampak, seperti Hyper Data Protector (CVE-2025-59389), Malware Remover (CVE-2025-11837), serta HBS 3 Hybrid Backup Sync (CVE-2025-62840 dan CVE-2025-62842).

    Menurut QNAP, seluruh kerentanan ini pertama kali diperlihatkan secara langsung oleh para peserta Pwn2Own. Tim yang berhasil mengeksploitasi celah tersebut adalah Summoning Team, DEVCORE, Team DDOS, dan seorang peserta magang dari CyCraft Technology.

    Versi Software QNAP yang Sudah Diperbaiki

    Untuk mengatasi risiko, QNAP merilis patch ke versi berikut:

    • Hyper Data Protector 2.2.4.1 atau lebih baru
    • Malware Remover 6.6.8.20251023 atau lebih baru
    • HBS 3 Hybrid Backup Sync 26.2.0.938 atau lebih baru
    • QTS 5.2.7.3297 build 20251024 atau lebih baru
    • QuTS hero h5.2.7.3297 build 20251024 atau lebih baru
    • QuTS hero h5.3.1.3292 build 20251024 atau lebih baru

    Selain merilis patch, QNAP juga menganjurkan pengguna untuk mengganti seluruh kata sandi penting. Dengan langkah tersebut, peluang penyalahgunaan dapat ditekan sejak awal.

    Cara Update Sistem Operasi QNAP

    Untuk memperbarui QTS atau QuTS hero, pengguna dapat mengikuti langkah berikut:

    1. Masuk sebagai administrator.
    2. Buka Control Panel > System > Firmware Update.
    3. Klik Check for Update pada bagian Live Update.
    4. Lanjutkan proses pembaruan hingga selesai.

    Cara Update Aplikasi yang Rentan

    Selain sistem operasi, aplikasi bawaan juga harus diperbarui. Prosesnya adalah:

    1. Masuk ke App Center.
    2. Gunakan kolom pencarian dan ketik nama aplikasi.
    3. Tekan Enter, lalu pilih Update.
    4. Klik OK untuk konfirmasi.

    Dengan langkah di atas, keamanan perangkat meningkat secara signifikan.

    Kerentanan di Pwn2Own Tahun Sebelumnya

    Sebagai tambahan, QNAP juga sempat menutup dua zero-day lain pada kompetisi Pwn2Own Ireland 2024. Kerentanan tersebut adalah OS Command Injection (CVE-2024-50388) pada Hybrid Backup Sync dan SQL Injection (CVE-2024-50387) pada SMB Service.

    Selain itu, pada hari yang sama QNAP merilis QuMagie 2.7.0 untuk menambal kerentanan Critical SQL Injection (CVE-2025-52425) di aplikasi manajemen foto tersebut.

    Source: https://www.bleepingcomputer.com/news/security/qnap-fixes-seven-nas-zero-day-vulnerabilities-exploited-at-pwn2own/

    https://www.qnap.com/en/news/2025/qnap-demonstrates-cybersecurity-commitment-at-pwn2own-2025-with-rapid-defense-updates