CVE-2025-66279: Kritisk fejl i QNAP QTS og QuTS hero
Sikkerhedshul i QNAP’s styresystem giver angribere med admin-adgang fuld kontrol over din NAS-enhed.
Hvad er det?
CVE-2025-66279 er en såkaldt kommandoindsprøjtningsfejl (command injection) i QNAP’s styresystemer QTS og QuTS hero. Det betyder, at en angriber kan sende skjulte systemkommandoer til din QNAP NAS-enhed (en netværkstilsluttet lagerenhed) og få den til at udføre dem uden din viden. Fejlen kræver, at angriberen allerede har eller har skaffet sig en administratorkonto på enheden — men når den adgang er opnået, er der ingen begrænsninger på, hvad de kan gøre.
Hvem rammer det?
Sårbarheden rammer virksomheder og organisationer, der bruger QNAP NAS-enheder med følgende styresystemer:
- QTS version 5.2.0.2737 op til (men ikke inkl.) 5.2.9.3410
- QuTS hero h5.2.0.2737 op til h5.2.9.3410
- QuTS hero h5.3.0.3115 op til h5.3.4.3500
- QuTS hero h6.0.0.3324 op til h6.0.0.3397
QNAP NAS bruges typisk til fildeling, sikkerhedskopiering og lagring af vigtige forretningsdata. Mange SMV’er bruger disse enheder som central lagerløsning.
Hvad kan ske?
Hvis en angriber udnytter sårbarheden, kan de:
- Læse og kopiere alle filer på din NAS — herunder kundedata, regnskaber og fortrolige dokumenter
- Slette eller kryptere data, f.eks. som led i et ransomware-angreb
- Installere bagdøre (skjult adgang) så de kan vende tilbage senere
- Bruge enheden som springbræt til at angribe andre systemer på dit netværk
Det fulde CIA-impact er højt på alle tre parametre: fortrolighed, integritet og tilgængelighed af dine data kan alle kompromitteres.
Hvor alvorligt er det?
Sårbarheden er vurderet til 7.2 ud af 10 (Alvorlig) på CVSS-skalaen. Det kræver, at angriberen har administratoradgang — hvilket sænker risikoen lidt — men QNAP-enheder har historisk set været mål for angreb, hvor netop adminkonti kompromitteres via svage adgangskoder, genbrug af kodeord eller tidligere lækkede legitimationsoplysninger. Når den adgang er opnået, er angrebet enkelt at udføre og kræver ingen videre teknisk interaktion fra din side.
Hvad gør jeg nu?
Opdater dit QNAP-styresystem hurtigst muligt. Følg disse trin:
- Log ind på din QNAP NAS via browsergrænsefladen (typisk via IP-adressen på dit netværk).
- Gå til Kontrolpanel → System → Firmwareopdatering og tjek efter tilgængelige opdateringer.
- Installer den nyeste version: QTS 5.2.9.3410 (build 20260214) eller nyere, QuTS hero h5.2.9.3410, h5.3.4.3500 eller h6.0.0.3397 og nyere.
- Gennemgå administratorkonti: Fjern ukendte konti, skift alle adgangskoder til stærke og unikke passwords.
- Deaktiver ekstern adgang (f.eks. via port 8080 eller UPnP) hvis det ikke er strengt nødvendigt, indtil opdateringen er installeret.
- Aktivér to-faktor-godkendelse (2FA) på alle administratorkonti for at beskytte mod fremtidige angreb.
Opdater inden for 7 dage
QNAP NAS-enheder er et velkendt mål for angribere, og kommandoindsprøjtningsfejl som denne er et af de mest effektive angrebsredskaber. Vi anbefaler, at du opdaterer din firmware straks og gennemgår alle administratorkonti på enheden. Overvej desuden at flytte NAS-adgang bag en VPN, så enheden ikke er direkte tilgængelig fra internettet — det reducerer angrebsoverfladen markant.
Tidslinje
Konkrete eksempler
Angreb via genbrug af adgangskode
En angriber finder en lækket adgangskode fra en tidligere databreach (f.eks. fra et gammelt forum) og prøver den på din QNAP’s admin-konto. Fordi mange bruger de samme kodeord flere steder, lykkes det. Angriberen bruger derefter CVE-2025-66279 til at køre egne kommandoer på enheden og installerer ransomware, der krypterer alle virksomhedens filer natten over.
Adgang via kompromitteret intern computer
En medarbejders computer inficeres med malware via en phishing-mail. Malwaren kortlægger det interne netværk og finder NAS-enheden. Den prøver standardadgangskoder som ‘admin/admin’ og får adgang. Via kommandoindsprøjtningsfejlen kopieres alle virksomhedens fortrolige filer stille og roligt til en ekstern server — uden nogen alarmer udløses.
Udnyttelse via internet-eksponeret NAS
En virksomhed har åbnet port 8080 på deres router, så medarbejdere kan tilgå NAS’en hjemmefra. En angriber scanner internettet for QNAP-enheder og finder denne. Via et brute force-angreb (systematisk gætning af adgangskoder) opnås administratoradgang, hvorefter CVE-2025-66279 udnyttes til at etablere en permanent bagdør på enheden.
Ofte stillede spørgsmål
Skal min QNAP være tilgængelig fra internettet for at være i fare?
Ikke nødvendigvis. Angriberen skal have eller skaffe sig en administratorkonto — det kan ske via dit lokale netværk, hvis en anden enhed er kompromitteret, eller via internettet hvis din NAS er eksponeret udadtil. QNAP-enheder der er direkte tilgængelige fra internettet løber den største risiko.
Hvordan ved jeg hvilken version mit QNAP kører?
Log ind på din QNAP’s webgrænseflade via browseren. Versionsnummeret vises øverst til højre på startsiden (Dashboard), eller du kan finde det under Kontrolpanel → System → Systeminformation. Sammenlign med de berørte versioner beskrevet ovenfor.
Er mine data i fare, hvis jeg ikke har opdateret endnu?
Risikoen er reel, men kræver at en angriber allerede har eller kan skaffe sig administratoradgang. Hvis du bruger stærke, unikke adgangskoder og ikke har enheden eksponeret direkte mod internettet, er risikoen lavere — men du bør stadig opdatere hurtigst muligt.
Hvad er kommandoindsprøjtning (command injection)?
Det er en type angreb, hvor en angriber sniger skjulte systemkommandoer ind i normale forespørgsler til et program. Programmet opfatter dem som legitime instruktioner og udfører dem — det svarer til, at nogen sniger et ekstra punkt ind på en indkøbsliste, og kassemedarbejderen bare scanner det med uden at bemærke det.
QNAP har udgivet patches — er de klar til brug?
Ja. QNAP udgav officielle rettelser i februar og maj 2026. Opdateringerne er tilgængelige via din enheds automatiske opdateringsfunktion og er klar til at installere nu.
Hvad gør jeg, hvis jeg har mistanke om at min NAS allerede er kompromitteret?
Afbryd enheden fra netværket med det samme og kontakt en IT-sikkerhedsspecialist. Gendan data fra en sikkerhedskopi, du ved er ren, og foretag en fabriksnulstilling af enheden inden den tages i brug igen. Skift desuden adgangskoder til alle tjenester, der var forbundet til NAS’en.
Ramte produkter
Qnap — Qts
≥ 5.2.0.2737, < 5.2.9.3410
Qnap — Quts Hero
≥ h5.2.0.2737, < h5.2.9.3410
Qnap — Quts Hero
≥ h5.3.0.3115, < h5.3.4.3500
Qnap — Quts Hero
≥ h6.0.0.3324, < h6.0.0.3397
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
A command injection vulnerability has been reported to affect several QNAP operating system versions. If a remote attacker gains an administrator account, they can then exploit the vulnerability to execute arbitrary commands.
We have already fixed the vulnerability in the following versions:
QTS 5.2.9.3410 build 20260214 and later
QuTS hero h5.2.9.3410 build 20260214 and later
QuTS hero h5.3.4.3500 build 20260520 and later
QuTS hero h6.0.0.3397 build 20260206 and later
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
