QNAP Menambal Tujuh Celah Zero-Day yang Dieksploitasi di Pwn2Own Ireland 2025

QNAP merilis pembaruan keamanan untuk menutup tujuh kerentanan zero-day yang berhasil dieksploitasi oleh tim peneliti pada kontes Pwn2Own Ireland 2025. Celah-celah ini memengaruhi sistem operasi NAS QNAP (QTS dan QuTS hero) serta beberapa aplikasi back-end penting, dan dapat membuka peluang eksekusi kode jarak jauh, pencurian data, atau kondisi gangguan layanan jika dibiarkan tanpa perbaikan.

Insiden ini terjadi ketika beberapa tim peserta Pwn2Own — termasuk Summoning Team, DEVCORE, Team DDOS, dan seorang intern dari CyCraft — mendemonstrasikan eksploit terhadap perangkat QNAP selama kompetisi, yang kemudian dilaporkan ke vendor untuk ditambal. Demonstrasi di acara tersebut menjadi pengingat bahwa perangkat penyimpanan jaringan komersial adalah target bernilai tinggi bagi peneliti maupun aktor jahat karena akses yang mereka miliki ke data dan infrastruktur jaringan.

Apa saja yang ditambal

Perbaikan QNAP mencakup kerentanan yang dilaporkan dengan identifier antara lain CVE-2025-62847, CVE-2025-62848, CVE-2025-62849 (mempengaruhi QTS/QuTS hero), serta beberapa bug pada aplikasi pendukung seperti Hyper Data Protector (CVE-2025-59389), Malware Remover (CVE-2025-11837), dan HBS 3 Hybrid Backup Sync (CVE-2025-62840, CVE-2025-62842). Selain itu, QNAP juga merilis pembaruan untuk menutup kerentanan SQL injection kritis pada QuMagie yang diberi kode CVE-2025-52425. Pembaruan ini tersedia melalui mekanisme update resmi QNAP dan App Center untuk aplikasi terkait.

Langkah yang harus dilakukan pengguna sekarang juga

QNAP menegaskan agar administrator NAS segera memperbarui perangkat lunak sistem operasi dan aplikasi ke versi yang sudah memperbaiki kerentanan tersebut. Langkah dasar yang direkomendasikan: masuk sebagai administrator ke QTS/QuTS hero, gunakan fitur Live Update untuk memeriksa versi firmware terbaru, dan perbarui aplikasi rentan lewat App Center. Selain itu, ubah kata sandi administratif setelah melakukan patch untuk memperkecil kemungkinan akses tak sah dari eksploit sebelumnya.

Kenapa ini penting bagi organisasi dan pengguna rumahan

Perangkat NAS sering menyimpan cadangan, data perusahaan, maupun layanan yang terhubung ke jaringan — sehingga eksploitasi celah ini dapat berdampak luas, mulai dari pencurian data sensitif hingga gangguan operasional. Fakta bahwa celah-celah itu berhasil dipraktikkan dalam skenario kompetisi menunjukkan bahwa teknik exploit sudah matang dan dapat disalahgunakan di lapangan jika kode perbaikan tidak cepat diterapkan.

Rekomendasi mitigasi tambahan

Selain patch, QNAP dan peneliti keamanan menyarankan:

• Nonaktifkan layanan yang tidak terpakai dan batasi akses administratif lewat jaringan publik;
• Terapkan segmentasi jaringan dan kontrol akses berbasis peran (RBAC);
• Aktifkan log dan pemantauan anomali untuk mendeteksi tanda kompromi dini;
• Rutin mencadangkan konfigurasi dan data penting ke media yang terisolasi.

Pwn2Own terus menjadi mekanisme penting bagi ekosistem keamanan: bug yang ditemukan di sana diperbaiki sebelum dimanfaatkan secara luas oleh aktor jahat. Namun, tanggung jawab terakhir tetap berada pada administrator dan pemilik perangkat untuk memastikan patch dipasang tanpa tertunda.

Sumber: BleepingComputer