Security

QNAP Peringatkan Pengguna soal Celah Kritis ASP.NET Core yang Berdampak pada Software Backup Windows

October 28, 2025
1 minute read

Taipei, Taiwan — QNAP Systems, Inc. mengeluarkan peringatan keamanan mendesak kepada pengguna NetBak PC Agent, aplikasi Windows untuk melakukan backup data ke perangkat QNAP NAS, terkait adanya kerentanan kritis di ASP.NET Core yang digunakan dalam aplikasi tersebut.

Celah keamanan ini dilacak sebagai CVE-2025-55315, sebuah security bypass flaw pada Kestrel ASP.NET Core web server, yang memungkinkan penyerang berpangkat rendah (low-privilege attacker) untuk membajak kredensial pengguna lain atau melewati kontrol keamanan antarmuka melalui serangan HTTP request smuggling.

⚠️ Kerentanan “Severity Tertinggi” di ASP.NET Core

Kerentanan ini disebut memiliki tingkat keparahan tertinggi yang pernah diterima oleh ASP.NET Core, menurut Barry Dorrans, Security Program Manager Microsoft .NET.
Jika berhasil dieksploitasi, penyerang dapat:

  • Masuk sebagai pengguna lain (eskalasi hak akses),
  • Melewati cross-site request forgery (CSRF),
  • Melakukan injection attack,
  • Memodifikasi file server,
  • Mengakses data sensitif tanpa izin, atau
  • Menyebabkan gangguan layanan terbatas (limited DoS).

💻 Dampak Langsung bagi Pengguna NetBak PC Agent

Menurut QNAP, NetBak PC Agent menginstal dan bergantung pada komponen Microsoft ASP.NET Core selama proses pemasangan.
Artinya, komputer dengan versi ASP.NET Core yang belum diperbarui berpotensi terpapar CVE-2025-55315.

“Komputer yang menjalankan NetBak PC Agent dapat mengandung versi ASP.NET Core yang terdampak jika sistem belum diperbarui,”
jelas QNAP dalam pernyataannya.
“QNAP sangat menyarankan pengguna memastikan sistem Windows mereka memiliki pembaruan terbaru dari Microsoft ASP.NET Core.”

🧩 Langkah Mitigasi dan Pembaruan

Untuk mengamankan sistem, QNAP menyarankan dua opsi pembaruan:

  1. Reinstal aplikasi NetBak PC Agent, untuk mendapatkan versi runtime ASP.NET Core terbaru.
  2. Perbarui ASP.NET Core secara manual, dengan mengunduh dan menginstal .NET 8.0 Hosting Bundle langsung dari halaman resmi Microsoft .NET Download.

Langkah ini memastikan seluruh komponen web server ASP.NET yang digunakan aplikasi NetBak tidak lagi rentan terhadap eksploitasi CVE-2025-55315.

🔐 Rekam Jejak Keamanan QNAP

Ini bukan kali pertama QNAP menghadapi isu keamanan pada solusi backup-nya.
Pada Januari 2025, perusahaan juga merilis pembaruan keamanan untuk menambal enam celah rsync di HBS 3 Hybrid Backup Sync 25.1.x, yang sebelumnya memungkinkan penyerang jarak jauh mengeksekusi kode berbahaya di perangkat NAS yang belum diperbarui.

🧠 Kesimpulan

Kerentanan CVE-2025-55315 menyoroti pentingnya memastikan pembaruan rutin tidak hanya pada aplikasi QNAP, tetapi juga komponen pihak ketiga yang menjadi dependensi, seperti Microsoft ASP.NET Core.
QNAP menegaskan bahwa dengan pembaruan yang tepat, risiko eksploitasi dan kebocoran data dapat diminimalkan secara signifikan.

Sumber: QNAP, Microsoft, BleepingComputer

Tags
October 28, 2025
1 minute read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button