Компания QNAP выпустила предупреждение об уязвимости, которая уже активно эксплуатируется злоумышленниками. Проблема получила идентификатор CVE-2026-31431 (общепринятый идентификатор уязвимости) и неофициальное название Copy Fail. Она затрагивает только определённые модели сетевых хранилищ (NAS) на архитектуре ARM64 (64-битная архитектура процессоров ARM), работающих под управлением операционной системы QTS (фирменная ОС QNAP) с ядром Linux версии 5.10. По данным вендора, владельцам таких устройств необходимо принять срочные меры для снижения риска атаки.
Суть инцидента и масштаб угрозы
Уязвимость относится к категории локального повышения привилегий. Иными словами, атакующий, уже имеющий легитимный доступ к системе с правами обычного пользователя (без прав администратора) и возможность выполнять произвольный код, может получить полный контроль над устройством. Вектор атаки - локальный, то есть злоумышленник должен сначала проникнуть в систему через какой-либо другой канал (например, через уязвимость в веб-интерфейсе, через установку вредоносного приложения или через подключение к NAS по протоколу SSH). После этого с помощью Copy Fail он способен поднять свои привилегии до уровня root (суперпользователя).
Критичность уязвимости оценена как высокая: базовый показатель CVSS составляет 7,8 балла. Это означает, что успешная эксплуатация может привести к полной компрометации хранилища, включая чтение, изменение и удаление всех данных, а также к дальнейшему распространению атаки внутри сети.
Техническая подоплёка: почему Copy Fail опасен
Причина уязвимости кроется в подсистеме криптографии ядра Linux (модуль algif_aead). Разработчики ядра внесли изменение, которое перевело работу этого модуля с внепоточного (out-of-place) режима на работу на месте (in-place). Однако, как выяснилось, в случае с интерфейсом algif_aead такой подход не давал преимуществ, поскольку источник и приёмник данных находятся в разных областях памяти. Изменение привело к ошибке, позволяющей локальному пользователю с доступом к системным вызовам криптографии выполнить произвольный код в контексте ядра. Таким образом, обычный пользователь может получить неограниченные полномочия в системе.
Интересно, что уязвимость затрагивает только сочетание архитектуры ARM64 и ядра Linux версии 5.10. Все устройства QNAP на базе процессоров x86 (Intel, AMD), все модели, работающие под управлением QTS версии 4.x (использующие более старые ядра), а также хранилища с операционной системой QuTS hero (специализированная версия для ZFS) остаются в безопасности. Таким образом, под удар попала сравнительно узкая, но весьма распространённая ниша - современные ARM64 NAS от QNAP с актуальной версией QTS.
Последствия для пользователей и бизнеса
Если злоумышленник успешно использует Copy Fail, он получает полный административный доступ к хранилищу. Это означает возможность зашифровать данные программами-вымогателями, похитить конфиденциальные файлы, установить бэкдоры (скрытые точки входа) для последующих атак, а также использовать сам NAS как точку входа в корпоративную сеть. Для малого и среднего бизнеса, часто использующего QNAP для хранения резервных копий и рабочих документов, такая атака может обернуться не только потерей данных, но и длительным простоем в работе.
На момент публикации официальное исправление от QNAP ещё не выпущено. Компания находится на стадии расследования и разработки обновления безопасности. Однако вендор уже опубликовал временные рекомендации, которые помогут снизить вероятность эксплуатации уязвимости.
Рекомендации по защите
В условиях отсутствия патча основная стратегия - ограничить возможность злоумышленника получить начальный доступ к системе. QNAP советует принять следующие меры.
Во-первых, следует избегать предоставления доступа к командной оболочке (shell) и разрешений терминала любым пользователям, не являющимся администраторами. Если вы ранее выдавали такие права, их лучше отозвать.
Во-вторых, необходимо тщательно контролировать среду контейнеров, если используется Container Station (платформа для запуска контейнеров). Разрешайте развёртывание только из проверенных образов и ограничивайте доступ контейнеров к системным ресурсам.
В-третьих, стоит отключить все неиспользуемые сетевые службы, особенно веб-сервер (по умолчанию работающий на порту 80) и другие приложения, которые не требуются в ежедневной работе. Чем меньше служб доступно из сети, тем ниже риск атаки.
Наконец, самое главное - ни в коем случае не оставляйте NAS напрямую доступным из интернета. Используйте встроенный брандмауэр QuFirewall, а также внешние сетевые экраны, чтобы ограничить доступ к устройству только доверенными IP-адресами.
Кроме того, рекомендуем регулярно проверять официальный сайт QNAP на предмет выхода обновления безопасности и устанавливать его сразу после публикации. На момент написания статьи уязвимость уже активно эксплуатируется в реальных атаках, поэтому медлить нельзя. Если ваше устройство попадает под описание - ARM64 NAS с ядром Linux 5.10 и QTS - примите перечисленные меры уже сегодня, чтобы предотвратить возможную компрометацию.
