CVE-2025-66280
Alvorlig

CVE-2025-66280: Kritisk QNAP QTS sårbarhed

Kritisk fejl i QNAP’s styresystem giver angriber fuld kontrol over din NAS-enhed, hvis de har admin-adgang.

CVSS Score
7.2
Offentliggjort
10/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdater inden for 7 dage

Hvad er det?

CVE-2025-66280 er en sårbarhed i QNAP’s operativsystemer QTS og QuTS hero, som bruges på QNAP NAS-enheder (netværkstilsluttede lagerenheder). Fejlen skyldes to tekniske problemer: et heltaloverløb (en beregningsfejl, hvor et tal bliver så stort at systemet ikke kan håndtere det korrekt) og et stack-baseret bufferoverløb (en fejl hvor data skrives uden for det tilladte hukommelsesområde). Kombinationen betyder, at en angriber med administrator-adgang kan udnytte fejlen til at overtage hele enheden – uden at du opdager det.

Hvem rammer det?

Sårbarheden rammer virksomheder og organisationer, der bruger QNAP NAS-enheder med følgende styresystemversioner:

  • QTS version 5.2.0.2737 op til (men ikke inkl.) 5.2.9.3410
  • QuTS hero version h5.2.0.2737 op til h5.2.9.3410
  • QuTS hero version h5.3.0.3115 op til h5.3.4.3500
  • QuTS hero version h6.0.0.3324 op til h6.0.0.3397

Særligt udsatte er virksomheder, der har deres QNAP NAS tilgængeligt fra internettet, eller hvor administrator-kontoen ikke er tilstrækkeligt beskyttet.

Hvad kan ske?

Hvis en angriber først har skaffet sig administrator-adgang til din QNAP-enhed – fx via svage adgangskoder, phishing eller en anden sårbarhed – kan de bruge denne fejl til at:

  • Overtage fuld kontrol over NAS-enheden og alt indhold på den
  • Læse, kopiere eller slette virksomhedens filer og data (fx regnskaber, kundeoplysninger, kontrakter)
  • Installere ransomware (afpresningssoftware) og kryptere alle filer
  • Bruge enheden som springbræt til resten af jeres netværk
  • Skjule al aktivitet, så I ikke opdager angrebet

Hvor alvorligt er det?

Sårbarheden er vurderet til CVSS 7.2 – Alvorlig. Angrebet kan udføres over netværket uden fysisk adgang, og det kræver ingen interaktion fra din side. Den eneste begrænsning er, at angriberen skal have administrator-adgang på forhånd. Konsekvenserne er maksimale for fortrolighed, integritet og tilgængelighed af data. QNAP NAS-enheder er velkendte mål for ransomware-grupper, og kendte fejl i disse enheder udnyttes aktivt og hurtigt efter offentliggørelse.

Hvad gør jeg nu?

Opdater din QNAP NAS hurtigst muligt. Følg disse trin:

  1. Log ind på din QNAP NAS via administrationspanelet (QTS/QuTS hero).
  2. Gå til Kontrolpanel → System → Firmwareopdatering og tjek hvilken version du kører.
  3. Opdater til en af de sikre versioner: QTS 5.2.9.3410 build 20260214 eller nyere, QuTS hero h5.2.9.3410 build 20260214 eller nyere, QuTS hero h5.3.4.3500 build 20260520 eller nyere, QuTS hero h6.0.0.3397 build 20260206 eller nyere.
  4. Skift adgangskode på alle administrator-konti til stærke, unikke adgangskoder (min. 16 tegn, blanding af bogstaver, tal og specialtegn).
  5. Deaktiver fjernadgang fra internettet hvis det ikke er strengt nødvendigt. Brug i stedet VPN (en sikker krypteret forbindelse).
  6. Aktivér to-faktor-godkendelse (2FA) på alle brugere med administrator-rettigheder.
Tidsfrist

Opdater inden for 7 dage

Sådan ser Auroa det

Vi anbefaler, at du opdaterer din QNAP NAS straks – senest inden for en uge. QNAP-enheder er hyppige mål for ransomware-angreb, og angribere scanner aktivt efter sårbare enheder. Sørg desuden for, at din NAS ikke er direkte tilgængelig fra internettet uden VPN, og at alle admin-konti har stærke adgangskoder og to-faktor-godkendelse. Har du brug for hjælp til opdatering eller sikring, er du velkommen til at kontakte os.

Tidslinje

06/02/2026
QNAP udgiver første rettelse
QNAP frigiver QTS 5.2.9.3410 og QuTS hero h6.0.0.3397 med rettelse af sårbarheden som de første versioner.
14/02/2026
Yderligere rettelser tilgængelige
QNAP udgiver QuTS hero h5.2.9.3410 build 20260214, som dækker h5.2.x-serien.
10/06/2026
CVE offentliggjort i NVD
Sårbarheden CVE-2025-66280 offentliggøres officielt i National Vulnerability Database med CVSS-score 7.2 (Alvorlig), hvilket øger risikoen for målrettet udnyttelse.
20/05/2026
Rettelse til QuTS hero h5.3.x
QNAP frigiver QuTS hero h5.3.4.3500 build 20260520, som lukker hullet for h5.3.x-serien.

Konkrete eksempler

Ransomware via kompromitteret admin-konto

En angriber scanner internettet og finder en QNAP NAS med standardadgangskoden stadig aktiv. De logger ind som administrator og udnytter herefter CVE-2025-66280 til at eskalere privilegier på systemniveau. Inden for minutter installerer de ransomware, der krypterer alle virksomhedens filer – herunder regnskaber og kundedatabaser – og kræver løsepenge for at gendanne adgangen.

Datatyveri via eksponeret NAS

En konkurrent eller kriminel gruppe finder virksomhedens QNAP NAS eksponeret på internettet via en simpel portscan. Efter at have brudt admin-adgangen med et automatiseret brute force-angreb (systematisk afprøvning af adgangskoder) bruger de sårbarheden til at få fuld systemadgang. De kopierer stille og roligt følsomme forretningsdokumenter, kontrakter og personoplysninger uden at efterlade synlige spor.

NAS som springbræt til resten af netværket

En angriber kompromitterer en QNAP NAS i en SMV via et phishing-angreb, der giver dem admin-legitimationsoplysninger. Ved hjælp af CVE-2025-66280 overtager de enheden på systemniveau og bruger den som en intern platform til at scanne og angribe resten af virksomhedens netværk – herunder computere, printere og eventuelt et kassesystem – alt imens angrebet ser ud til at komme indefra.

Ofte stillede spørgsmål

Ramte produkter

Qnap — Qts

≥ 5.2.0.2737, < 5.2.9.3410

Qnap — Quts Hero

≥ h5.2.0.2737, < h5.2.9.3410

Qnap — Quts Hero

≥ h5.3.0.3115, < h5.3.4.3500

Qnap — Quts Hero

≥ h6.0.0.3324, < h6.0.0.3397

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
HIGH
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

CWE-121
CWE-190

Original NVD-beskrivelse (engelsk)

An integer overflow or wraparound vulnerability has been reported to affect several QNAP operating system versions. If a remote attacker gains an administrator account, they can then exploit the vulnerability to compromise the security of the system.

We have already fixed the vulnerability in the following versions:
QTS 5.2.9.3410 build 20260214 and later
QuTS hero h5.2.9.3410 build 20260214 and later
QuTS hero h5.3.4.3500 build 20260520 and later
QuTS hero h6.0.0.3397 build 20260206 and later

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
7.2
Visning
Hurtige fakta
CVE-ID
CVE-2025-66280
Offentliggjort
10/06/2026
Sidst opdateret
17/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdater inden for 7 dage

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.