Производитель сетевых накопителей QNAP предупредил о критической уязвимости, затрагивающей операционную систему QTS на устройствах с архитектурой ARM64. Проблема, получившая идентификатор CVE-2026-31431 и условное название Copy Fail, позволяет локальному атакующему без прав администратора получить полный контроль над системой. В связи с тем, что официального исправления пока не существует, владельцам уязвимых моделей стоит заранее принять меры предосторожности.
Уязвимость в Qnap QTS
В чём суть обнаруженной проблемы? Речь идёт об уязвимости локального повышения привилегий (то есть получения прав, превышающих изначально предоставленные), которая скрывается в ядре Linux версии 5.10. Ошибка возникает в криптографическом модуле algif_aead - при обработке запросов на аутентифицированное шифрование. Разработчики Linux ранее попытались оптимизировать этот участок кода, однако изменения привели к непредвиденным последствиям. Как выяснилось, работать с данными "на месте" (in-place) в данном контексте небезопасно, поскольку источник и приёмник данных находятся в разных областях памяти. В результате злоумышленник, уже имеющий возможность выполнять код на устройстве, может выйти за пределы своих полномочий.
Уязвимость затрагивает только узкую группу устройств. Для успешной атаки необходимо одновременное выполнение двух условий: архитектура процессора ARM64 и версия ядра Linux 5.10. Если ваше устройство работает на процессоре x86, на QuTS hero или на QTS версии 4.x, можете не беспокоиться. Проблема также не касается ARM-устройств с более старыми или более новыми ядрами. Иными словами, под удар попадают только современные ARM64-модели QNAP, использующие ядро 5.10. Владельцам таких устройств стоит проверить архитектуру и версию ядра в настройках системы.
Согласно стандарту CVSS, проблема получила 7,8 балла из 10 - это высокая степень опасности. Вектор атаки требует локального доступа (то есть злоумышленник должен физически или удалённо, но уже с определёнными правами, находиться в системе). Для эксплуатации не требуется вмешательства пользователя. Зато в случае успеха атакующий получает полный доступ к конфиденциальности, целостности и доступности данных. Иными словами, он сможет читать любые файлы, изменять их и даже удалять.
Следует подчеркнуть: уязвимость не позволяет проникнуть в систему с нуля. Атакующий должен сначала получить возможность выполнять произвольный код на накопителе. Это может произойти через другую уязвимость, через фишинговую атаку или если злоумышленник уже имеет учётную запись на устройстве, но с ограниченными правами. Однако в корпоративной среде, где к NAS одновременно подключается множество пользователей, риски возрастают: один скомпрометированный аккаунт может привести к захвату всего хранилища.
Каковы возможные последствия? Самое очевидное - утечка конфиденциальных данных. На сетевых накопителях QNAP часто хранят резервные копии, корпоративные документы, личные архивы. Получив права администратора, злоумышленник может выгрузить эти данные в интернет или зашифровать их с целью вымогательства. Кроме того, скомпрометированное устройство может стать точкой входа для атак на другие системы в локальной сети. Не стоит сбрасывать со счетов и потерю времени на восстановление: если злоумышленник удалит системные файлы или изменит конфигурацию, накопитель может выйти из строя на дни и даже недели.
Важно отметить, что на данный момент QNAP не выпустила исправление. В официальном бюллетене безопасности компании говорится, что проблема находится в статусе расследования. Это означает, что владельцам уязвимых устройств остаётся полагаться только на превентивные меры. Производитель рекомендует ограничить круг лиц, имеющих доступ к командной строке (shell) или к терминалу. Если ваши пользователи не нуждаются в прямой работе с системой, лучше запретить им такие возможности.
Дополнительно стоит обратить внимание на контейнерную безопасность. Если вы используете Container Station, убедитесь, что запускаются только доверенные образы, а среда контейнера изолирована от основной системы. Любой код, выполняемый внутри контейнера, может потенциально быть использован для атаки на хост. Кроме того, отключите неиспользуемые службы - особенно веб-сервер на стандартном порту 80, если вы не используете его для доступа к накопителю.
Самый действенный, хотя и не всегда удобный совет - не оставлять NAS напрямую доступным из интернета. Используйте брандмауэр QuFirewall или внешний сетевой экран для ограничения входящего трафика. Если удалённый доступ критически важен, рассмотрите развёртывание VPN (виртуальной частной сети) - это создаст дополнительный уровень аутентификации и шифрования.
К сожалению, до выхода патча полностью исключить риск невозможно. Поэтому стоит внимательно следить за официальными каналами QNAP. Как только обновление появится, его нужно установить немедленно. Откладывать установку исправлений в случае уязвимости повышения привилегий - значит сознательно оставлять дверь открытой для злоумышленников.
Тем временем исследователи продолжают анализировать первопричину ошибки. Разработчики ядра Linux уже подготовили реверт (откат) неудачного изменения - в коммите, который возвращает работу модуля algif_aead к исходной логике, когда данные копируются полностью, а не обрабатываются на месте. Как только этот патч попадёт в стабильную ветку, QNAP сможет включить его в свою прошивку. Однако когда именно это произойдёт, пока неизвестно.
Ситуация напоминает о фундаментальной истине: даже в зрелых проектах, таких как ядро Linux, оптимизация может привести к появлению серьёзных брешей. В данном случае разработчики попытались ускорить криптографическую обработку, но пожертвовали безопасностью. И хотя подобные ошибки встречаются нечасто, их последствия способны затронуть тысячи корпоративных и домашних пользователей. Для QNAP, чьи устройства традиционно считаются надёжными, этот инцидент - повод ещё раз проверить процессы тестирования обновлений.
В ожидании исправления важно не поддаваться панике, но и не игнорировать угрозу. Проверьте свою модель, ограничьте привилегии пользователей, отключите ненужные сервисы и по возможности уберите NAS из прямого доступа в интернет. Как только появится обновление - устанавливайте его первым делом. И помните: кибербезопасность - это не разовая акция, а постоянный процесс.
