CVE-2025-66280: Kritisk QNAP QTS sårbarhed
Kritisk fejl i QNAP’s styresystem giver angriber fuld kontrol over din NAS-enhed, hvis de har admin-adgang.
Hvad er det?
CVE-2025-66280 er en sårbarhed i QNAP’s operativsystemer QTS og QuTS hero, som bruges på QNAP NAS-enheder (netværkstilsluttede lagerenheder). Fejlen skyldes to tekniske problemer: et heltaloverløb (en beregningsfejl, hvor et tal bliver så stort at systemet ikke kan håndtere det korrekt) og et stack-baseret bufferoverløb (en fejl hvor data skrives uden for det tilladte hukommelsesområde). Kombinationen betyder, at en angriber med administrator-adgang kan udnytte fejlen til at overtage hele enheden – uden at du opdager det.
Hvem rammer det?
Sårbarheden rammer virksomheder og organisationer, der bruger QNAP NAS-enheder med følgende styresystemversioner:
- QTS version 5.2.0.2737 op til (men ikke inkl.) 5.2.9.3410
- QuTS hero version h5.2.0.2737 op til h5.2.9.3410
- QuTS hero version h5.3.0.3115 op til h5.3.4.3500
- QuTS hero version h6.0.0.3324 op til h6.0.0.3397
Særligt udsatte er virksomheder, der har deres QNAP NAS tilgængeligt fra internettet, eller hvor administrator-kontoen ikke er tilstrækkeligt beskyttet.
Hvad kan ske?
Hvis en angriber først har skaffet sig administrator-adgang til din QNAP-enhed – fx via svage adgangskoder, phishing eller en anden sårbarhed – kan de bruge denne fejl til at:
- Overtage fuld kontrol over NAS-enheden og alt indhold på den
- Læse, kopiere eller slette virksomhedens filer og data (fx regnskaber, kundeoplysninger, kontrakter)
- Installere ransomware (afpresningssoftware) og kryptere alle filer
- Bruge enheden som springbræt til resten af jeres netværk
- Skjule al aktivitet, så I ikke opdager angrebet
Hvor alvorligt er det?
Sårbarheden er vurderet til CVSS 7.2 – Alvorlig. Angrebet kan udføres over netværket uden fysisk adgang, og det kræver ingen interaktion fra din side. Den eneste begrænsning er, at angriberen skal have administrator-adgang på forhånd. Konsekvenserne er maksimale for fortrolighed, integritet og tilgængelighed af data. QNAP NAS-enheder er velkendte mål for ransomware-grupper, og kendte fejl i disse enheder udnyttes aktivt og hurtigt efter offentliggørelse.
Hvad gør jeg nu?
Opdater din QNAP NAS hurtigst muligt. Følg disse trin:
- Log ind på din QNAP NAS via administrationspanelet (QTS/QuTS hero).
- Gå til Kontrolpanel → System → Firmwareopdatering og tjek hvilken version du kører.
- Opdater til en af de sikre versioner: QTS 5.2.9.3410 build 20260214 eller nyere, QuTS hero h5.2.9.3410 build 20260214 eller nyere, QuTS hero h5.3.4.3500 build 20260520 eller nyere, QuTS hero h6.0.0.3397 build 20260206 eller nyere.
- Skift adgangskode på alle administrator-konti til stærke, unikke adgangskoder (min. 16 tegn, blanding af bogstaver, tal og specialtegn).
- Deaktiver fjernadgang fra internettet hvis det ikke er strengt nødvendigt. Brug i stedet VPN (en sikker krypteret forbindelse).
- Aktivér to-faktor-godkendelse (2FA) på alle brugere med administrator-rettigheder.
Opdater inden for 7 dage
Vi anbefaler, at du opdaterer din QNAP NAS straks – senest inden for en uge. QNAP-enheder er hyppige mål for ransomware-angreb, og angribere scanner aktivt efter sårbare enheder. Sørg desuden for, at din NAS ikke er direkte tilgængelig fra internettet uden VPN, og at alle admin-konti har stærke adgangskoder og to-faktor-godkendelse. Har du brug for hjælp til opdatering eller sikring, er du velkommen til at kontakte os.
Tidslinje
Konkrete eksempler
Ransomware via kompromitteret admin-konto
En angriber scanner internettet og finder en QNAP NAS med standardadgangskoden stadig aktiv. De logger ind som administrator og udnytter herefter CVE-2025-66280 til at eskalere privilegier på systemniveau. Inden for minutter installerer de ransomware, der krypterer alle virksomhedens filer – herunder regnskaber og kundedatabaser – og kræver løsepenge for at gendanne adgangen.
Datatyveri via eksponeret NAS
En konkurrent eller kriminel gruppe finder virksomhedens QNAP NAS eksponeret på internettet via en simpel portscan. Efter at have brudt admin-adgangen med et automatiseret brute force-angreb (systematisk afprøvning af adgangskoder) bruger de sårbarheden til at få fuld systemadgang. De kopierer stille og roligt følsomme forretningsdokumenter, kontrakter og personoplysninger uden at efterlade synlige spor.
NAS som springbræt til resten af netværket
En angriber kompromitterer en QNAP NAS i en SMV via et phishing-angreb, der giver dem admin-legitimationsoplysninger. Ved hjælp af CVE-2025-66280 overtager de enheden på systemniveau og bruger den som en intern platform til at scanne og angribe resten af virksomhedens netværk – herunder computere, printere og eventuelt et kassesystem – alt imens angrebet ser ud til at komme indefra.
Ofte stillede spørgsmål
Hvordan ved jeg, om min QNAP NAS er sårbar?
Log ind på din QNAP NAS og gå til Kontrolpanel → System → Firmwareopdatering. Her kan du se versionsnummeret. Sammenlign det med de sårbare versioner i denne artikel. Er du i tvivl, så kontakt os – vi hjælper dig gerne med at tjekke.
Angriberen skal jo have admin-adgang i forvejen – er det ikke usandsynligt?
Desværre ikke. Mange QNAP-enheder er tilgængelige fra internettet med standardadgangskoder eller svage kodeord, der kan gættes eller knækkes automatisk. Derudover kan andre kendte sårbarheder bruges til at skaffe admin-adgang som et første trin. Angribere kombinerer ofte flere fejl i ét angreb.
Kan jeg nøjes med en midlertidig løsning i stedet for at opdatere?
QNAP har udgivet officielle opdateringer, som er den bedste løsning. Hvis du ikke kan opdatere med det samme, bør du som minimum sikre, at enheden ikke er tilgængelig direkte fra internettet, og at alle admin-konti har stærke adgangskoder og to-faktor-godkendelse aktiveret. Men dette er kun en midlertidig foranstaltning – opdatering er nødvendig.
Hvad er risikoen for ransomware via denne sårbarhed?
QNAP NAS-enheder er et yndet mål for ransomware-grupper som Deadbolt og eCh0raix, der specifikt jager kendte QNAP-sårbarheder. Hvis angribere udnytter denne fejl og installerer ransomware, kan alle filer på din NAS blive krypteret og gjort utilgængelige, indtil du betaler løsepenge – uden garanti for at få dem igen. Regelmæssige sikkerhedskopier og hurtig opdatering er din bedste forsikring.
Påvirker dette mine sikkerhedskopier gemt på NAS-enheden?
Ja, potentielt. Hvis angribere overtager enheden, kan de tilgå, slette eller kryptere alt indhold – herunder sikkerhedskopier. Det understreger vigtigheden af at have sikkerhedskopier gemt på et separat, offline sted (fx en ekstern harddisk der ikke er tilsluttet til daglig, eller en cloudtjeneste med versionering).
Hvornår udsendte QNAP rettelsen?
QNAP udgav de første rettede versioner i februar 2026 (build 20260214) og den seneste rettelse for QuTS hero h5.3.x-serien i maj 2026 (build 20260520). Opdateringerne er tilgængelige direkte via enheden eller fra QNAPs officielle hjemmeside.
Ramte produkter
Qnap — Qts
≥ 5.2.0.2737, < 5.2.9.3410
Qnap — Quts Hero
≥ h5.2.0.2737, < h5.2.9.3410
Qnap — Quts Hero
≥ h5.3.0.3115, < h5.3.4.3500
Qnap — Quts Hero
≥ h6.0.0.3324, < h6.0.0.3397
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
An integer overflow or wraparound vulnerability has been reported to affect several QNAP operating system versions. If a remote attacker gains an administrator account, they can then exploit the vulnerability to compromise the security of the system.
We have already fixed the vulnerability in the following versions:
QTS 5.2.9.3410 build 20260214 and later
QuTS hero h5.2.9.3410 build 20260214 and later
QuTS hero h5.3.4.3500 build 20260520 and later
QuTS hero h6.0.0.3397 build 20260206 and later
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
