• 2026-02-26

Peneliti keamanan dan ASUSTOR mengungkap kerentanan serius pada fitur FTP Backup di sistem operasi ASUSTOR Data Master (ADM) yang terdaftar sebagai CVE-2026-3100 dengan tingkat keparahan tinggi (CVSS 8.3). Celah ini disebabkan oleh validasi sertifikat TLS/SSL yang tidak dilakukan secara ketat, sehingga membuka peluang serangan Man-in-the-Middle (MitM). Penyerang yang berada di jalur komunikasi dapat mencegat, membaca, atau memodifikasi data cadangan yang dikirim melalui koneksi FTPS/FTPES, termasuk kredensial autentikasi. Kerentanan ini memengaruhi berbagai versi ADM, mulai dari 4.1.0 hingga 4.3.3.ROF1 serta 5.0.0 hingga 5.1.2.RE51. Selain itu, ditemukan pula celah kedua yaitu CVE-2026-3179 (CVSS 9.2) berupa path traversal yang memungkinkan penulisan file di luar direktori backup melalui skenario MitM atau server FTP berbahaya. Dampaknya berpotensi lebih luas, termasuk penimpaan file sistem, penyisipan kode berbahaya, hingga gangguan integritas perangkat NAS. ASUSTOR telah merilis perbaikan pada ADM 5.1.2.REO1 dan mendesak seluruh pengguna untuk segera melakukan pembaruan. Sebagai langkah mitigasi tambahan, pengguna disarankan menonaktifkan FTP Backup jika digunakan melalui jaringan publik, memastikan penggunaan sertifikat TLS yang valid, serta melakukan audit konfigurasi keamanan secara berkala. Penerapan pembaruan dan praktik keamanan yang tepat menjadi kunci untuk mencegah potensi eksploitasi dan menjaga integritas data cadangan. 

https://www.asustor.com/security/security_advisory_detail?id=53
https://nvd.nist.gov/vuln/detail/CVE-2026-3100