CVE-2025-62850: QNAP QuTS hero sårbarhed – hvad du skal gøre
Sårbarhed i QNAP QuTS hero kan få din NAS til at crashe, hvis en angriber har fået fat i en administratorkonto.
Hvad er det?
CVE-2025-62850 er en sårbarhed af typen NULL pointer dereference (et programmeringsfejl, hvor softwaren forsøger at tilgå en hukommelsesadresse, der ikke eksisterer, og derfor går ned) i QNAP’s styresystem QuTS hero. Fejlen betyder, at en angriber med adgang til en administratorkonto kan sende et særligt udformet netværkskald, der får systemet til at crashe og holde op med at svare. QNAP har udgivet rettede versioner og anbefaler, at du opdaterer snarest.
Hvem rammer det?
Sårbarheden rammer virksomheder og organisationer, der bruger QNAP NAS-enheder (netværkstilsluttede lagerenheder) med styresystemet QuTS hero i følgende versioner:
- h5.2.0.2737 op til (men ikke inklusiv) h5.2.9.3410
- h5.3.0.3115 op til (men ikke inklusiv) h5.3.4.3500
- h6.0.0.3324 op til (men ikke inklusiv) h6.0.0.3459
Er din NAS tilgængelig fra internettet og kører en af disse versioner, er du i risikogruppen — særligt hvis administratorkontoen er kompromitteret eller bruger svage adgangskoder.
Hvad kan ske?
Hvis en angriber allerede har fået adgang til en administratorkonto på din NAS, kan vedkommende udnytte denne sårbarhed til at iværksætte et DoS-angreb (Denial-of-Service — et angreb, der gør en enhed eller tjeneste utilgængelig). Det betyder:
- Din NAS crasher og holder op med at svare, hvilket afbryder adgangen til filer, sikkerhedskopier og andre tjenester der er hostet på enheden.
- Driftsstop for medarbejdere der er afhængige af lageret i hverdagen.
- Tab af adgang til sikkerhedskopier i en kritisk situation, f.eks. under et ransomware-angreb.
Bemærk: Sårbarheden i sig selv giver ikke angriberen adgang til dine data — den kræver, at en administratorkonto allerede er kompromitteret.
Hvor alvorligt er det?
Sårbarheden har en CVSS-score på 7.2 ud af 10 (Alvorlig). Det kræver, at angriberen allerede besidder en administratorkonto, hvilket sænker risikoen lidt sammenlignet med fejl der kan udnyttes uden forudgående adgang. Til gengæld er netværksangrebet simpelt at gennemføre (lav kompleksitet), og det kræver ingen interaktion fra dig eller dine medarbejdere. Konsekvenserne er alvorlige: fuld påvirkning på fortrolighed, integritet og tilgængelighed af systemet. For SMV’er der bruger NAS-enheden til daglig drift eller backup er et driftsstop særdeles kritisk.
Hvad gør jeg nu?
Følg disse trin for at beskytte din virksomhed hurtigst muligt:
- Tjek din QuTS hero-version: Log ind på din QNAP NAS og gå til Kontrolpanel → System → Firmwareopdatering for at se den aktuelle version.
- Opdatér til en rettet version: Installer en af de følgende rettede versioner via QNAP’s opdateringsfunction eller fra QNAP’s hjemmeside: QuTS hero h5.2.9.3410 build 20260214 eller nyere, h5.3.4.3500 build 20260520 eller nyere, eller h6.0.0.3459 build 20260409 eller nyere.
- Gennemgå dine administratorkonti: Skift alle administratoradgangskoder til lange, unikke adgangskoder og aktivér to-faktor-godkendelse (2FA) hvis muligt.
- Begræns adgangen fra internettet: Overvej om din NAS behøver at være direkte tilgængelig fra internettet — brug i stedet en VPN-løsning for fjernforbindelser.
- Tjek logfiler for mistænkelig aktivitet: Gennemgå enhedens logfiler for ukendte login-forsøg eller usædvanlig aktivitet, der kan tyde på et tidligere kompromis.
Opdatér inden for 7 dage
Opdatér din QNAP QuTS hero til den seneste rettede version så hurtigt som muligt — patches er tilgængelige nu. Kombinér opdateringen med en gennemgang af alle administratorkonti og aktivering af to-faktor-godkendelse, da sårbarheden kræver kompromitterede admin-legitimationsoplysninger for at kunne udnyttes. Overvej desuden at begrænse din NAS’ eksponering mod internettet ved at bruge VPN i stedet for direkte fjernadgang — det reducerer angrebsfladen markant og beskytter mod fremtidige sårbarheder.
Tidslinje
Konkrete eksempler
Kompromitteret admin-konto bruges til at crashe NAS
En angriber skaffer sig adgang til en QNAP NAS-administrators konto via et phishing-angreb mod en medarbejder. Med den stjålne adgangskode logger angriberen ind på NAS-enheden og sender et særligt udformet netværkskald, der udløser NULL pointer-fejlen. NAS-enheden crasher, og virksomheden mister adgang til alle lagrede filer og sikkerhedskopier i timerne det tager at genstarte og stabilisere systemet.
Sabotage under ransomware-angreb
Under et igangværende ransomware-angreb mod virksomhedens netværk identificerer angriberne en NAS med QuTS hero eksponeret mod internettet. De har allerede stjålet administratorlegitimationsoplysninger fra en kompromitteret pc. De udnytter CVE-2025-62850 til at crashe NAS-enheden præcis i det øjeblik, virksomheden forsøger at gendanne data fra backup — og forlænger dermed nedetiden og presset på virksomheden markant.
Svagt standardkodeord udnyttes til DoS
En virksomhed har glemt at ændre standardadgangskoden på sin QNAP NAS, der er tilgængelig direkte via internettet. En angriber scanner nettet, finder enheden, logger ind med standardlegitimationsoplysningerne og crasher systemet gentagne gange ved at udnytte NULL pointer-fejlen. Virksomheden oplever gentagne mystiske nedbrud, der viser sig at være et målrettet DoS-angreb.
Ofte stillede spørgsmål
Skal jeg bekymre mig, hvis min NAS ikke er tilgængelig fra internettet?
Risikoen er lavere, men ikke elimineret. Angriberen skal have adgang til en administratorkonto, hvilket primært sker via netværket. Er din NAS kun tilgængelig internt, kræver det, at angrebet foregår indefra dit netværk. Du bør stadig opdatere og sikre dine administratorkonti.
Kan angriberen stjæle mine filer med denne sårbarhed?
Nej, ikke direkte. Denne specifikke sårbarhed bruges udelukkende til at crashe systemet (DoS-angreb) og giver ikke i sig selv adgang til dine data. Har en angriber dog allerede fået fat i en administratorkonto, bør du betragte hele enheden som potentielt kompromitteret og handle derefter.
Hvordan ved jeg, om min NAS allerede er blevet angrebet?
Tegn på et angreb kan være: uforklarlige nedbrud eller genstarter af NAS-enheden, ukendte brugere i administratorlisten, eller mistænkelige logins i systemloggen. Log ind på din NAS, gå til Logcenter og gennemgå loginlogfiler for usædvanlige IP-adresser eller tidspunkter.
Påvirker dette alle QNAP-enheder?
Nej. Kun enheder der kører QNAP’s QuTS hero-styresystem i de berørte versioner er sårbare. Bruger du QNAP’s anden firmware, QTS (uden ‘hero’), er du ikke berørt af denne specifikke CVE. Er du i tvivl om hvilken firmware din enhed kører, kan du se det under Kontrolpanel → System → Firmwareopdatering.
Er det svært at opdatere QuTS hero?
Normalt er det en simpel proces. Log ind på din NAS, gå til Kontrolpanel → System → Firmwareopdatering, og klik på ‘Søg efter opdatering’. Du kan også downloade opdateringen manuelt fra QNAP’s officielle downloadcenter. Husk at tage en sikkerhedskopi af vigtige data inden opdateringen, selvom det sjældent er nødvendigt.
Ramte produkter
Qnap — Quts Hero
≥ h5.2.0.2737, < h5.2.9.3410
Qnap — Quts Hero
≥ h5.3.0.3115, < h5.3.4.3500
Qnap — Quts Hero
≥ h6.0.0.3324, < h6.0.0.3459
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
A NULL pointer dereference vulnerability has been reported to affect several QNAP operating system versions. If a remote attacker gains an administrator account, they can then exploit the vulnerability to launch a denial-of-service (DoS) attack.
We have already fixed the vulnerability in the following versions:
QuTS hero h5.2.9.3410 build 20260214 and later
QuTS hero h5.3.4.3500 build 20260520 and later
QuTS hero h6.0.0.3459 build 20260409 and later
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
