CVE-2025-66281: Sårbarhed i QNAP QTS og QuTS hero
Sårbarhed i QNAP NAS-styresystem kan lukke din netværksdisk ned via fjernangreb – opdater straks.
Hvad er det?
CVE-2025-66281 er en sårbarhed i styresystemet på QNAP NAS-enheder (netværkstilsluttede lagerenheder). Fejlen er en såkaldt NULL pointer dereference (en programmeringsfejl, hvor softwaren forsøger at tilgå en hukommelsesadresse der ikke eksisterer), som får enheden til at gå ned og holde op med at svare. En angriber kan udnytte fejlen via internettet uden at have fysisk adgang til enheden. Angriberen skal dog have administratoradgang til enheden for at udnytte sårbarheden. QNAP har udgivet opdateringer der lukker hullet.
Hvem rammer det?
Sårbarheden rammer virksomheder og organisationer der bruger QNAP NAS-enheder med følgende styresystemer:
- QTS version 5.2.0.2737 op til 5.2.9.3410
- QuTS hero version h5.2.0.2737 op til h5.2.9.3410
- QuTS hero version h5.3.0.3115 op til h5.3.4.3500
- QuTS hero version h6.0.0.3324 op til h6.0.0.3397
Mange SMV’er bruger QNAP NAS til fildeling, backup og lagring. Har du en QNAP-enhed på dit netværk, bør du tjekke hvilken version du kører.
Hvad kan ske?
En angriber med administratoradgang kan sende et særligt udformet netværkskald til din QNAP-enhed og få den til at gå ned – et såkaldt denial-of-service-angreb (DoS). Det betyder:
- Din netværksdisk bliver utilgængelig for alle brugere
- Igangværende backup-jobs afbrydes
- Filer og data der er lagret på enheden, kan ikke tilgås
- Enheden skal genstartes manuelt for at komme op igen
Sårbarheden giver ikke angriberen mulighed for at stjæle eller ændre data – fokus er på at lamme enheden. Fortrolighed og integritet er dog vurderet høj i CVSS-vektoren, hvilket afspejler den potentielle impact hvis angriberen allerede har admin-adgang.
Hvor alvorligt er det?
Sårbarheden er vurderet til CVSS 7.2 – Alvorlig. Det er vigtigt at bemærke, at angriberen skal have administratoradgang til enheden for at udnytte fejlen – det sænker den reelle risiko for de fleste. Til gengæld kan angrebet udføres over netværket uden yderligere brugerinteraktion. Konsekvensen er fuld nedetid på din lagringsenhed. For virksomheder der er afhængige af NAS til daglig drift, backup eller fildeling, kan selv kortvarig nedetid være kritisk.
Hvad gør jeg nu?
Følg disse trin for at beskytte din QNAP NAS-enhed:
- Find din version: Log ind på din QNAP’s administrationsgrænseflade og gå til Kontrolpanel → Systeminformation for at se hvilken version af QTS eller QuTS hero du kører.
- Opdater straks: Opdater til den nyeste tilgængelige version via Kontrolpanel → Firmwareopdatering. De sikre versioner er QTS 5.2.9.3410 (build 20260214) eller nyere, og de tilsvarende QuTS hero-versioner.
- Begræns administratoradgang: Sørg for at kun betroede brugere har admin-adgang til enheden, og brug stærke, unikke adgangskoder.
- Undgå unødvendig eksponering: Overvej om din QNAP-enhed virkelig behøver at være tilgængelig direkte fra internettet. Brug VPN hvis fjernAdgang er nødvendig.
- Tjek om opdateringen lykkedes: Verificér efter opdatering at enheden kører den korrekte nye version.
Opdater inden for 7 dage
Da angriberen skal have administratoradgang for at udnytte sårbarheden, er den umiddelbare risiko begrænset – men det ændrer ikke på, at opdateringen bør gennemføres hurtigt. QNAP NAS-enheder er et populært mål for angribere, og kombinationen af manglende opdateringer og svage adgangskoder har historisk ført til alvorlige hændelser. Opdatér firmware nu, gennemgå hvem der har administratoradgang, og sørg for at enheden ikke er unødigt eksponeret mod internettet.
Tidslinje
Konkrete eksempler
Angriber afbryder virksomhedens backup
En angriber der har fået fat i admin-adgangskoden til en QNAP NAS – eksempelvis via et tidligere phishing-angreb eller genbrug af en lækket adgangskode – sender et ondsindet netværkskald til enheden. QNAP’en går ned midt i en planlagt nattlig backup. Virksomheden opdager fejlen næste morgen og har ikke en gyldig backup af gårsdagens data.
Intern bruger misbruger adgang
En utilfreds medarbejder med administratorrettigheder til virksomhedens delte netværksdrev udnytter sårbarheden til bevidst at lukke QNAP-enheden ned. Alle medarbejdere mister adgang til fælles filer i arbejdstiden, og IT-afdelingen bruger tid på at diagnosticere og genstarte enheden uden at kende årsagen.
Automatiseret angreb via eksponeret administrationsgrænseflade
En virksomhed har ved en fejl eksponeret QNAP’ens administrationsgrænseflade direkte mod internettet med standard-adgangskoden. Et automatiseret scanningsværktøj finder enheden, logger ind med standard-login og udnytter sårbarheden til at crashe enheden gentagne gange. Virksomheden oplever tilbagevendende nedetid uden at forstå årsagen, indtil en sikkerhedsgennemgang afslører problemet.
Ofte stillede spørgsmål
Skal min NAS være forbundet til internettet for at være sårbar?
Angrebet kan udføres via netværket, men angriberen skal have administratoradgang til enheden. Hvis din NAS er eksponeret direkte mod internettet med svage eller standard adgangskoder, er risikoen højere. Enheder bag en firewall uden direkte interneteksponering er bedre beskyttet.
Kan angriberen stjæle mine filer med denne sårbarhed?
Nej – denne sårbarhed bruges til at lamme enheden (denial-of-service), ikke til at stjæle eller ændre data. Angriberen kan få din NAS til at gå ned og blive utilgængelig, men selve filerne kompromitteres ikke via denne specifikke fejl.
Hvordan ved jeg om min QNAP-enhed er opdateret?
Log ind på din QNAP’s webgrænseflade og gå til Kontrolpanel → Firmwareopdatering. Her kan du se din nuværende version og tjekke om der er tilgængelige opdateringer. De sikre versioner er QTS 5.2.9.3410 (build 20260214) og de tilsvarende QuTS hero-versioner angivet af QNAP.
Hvad er risikoen hvis jeg ikke opdaterer med det samme?
Så længe ingen har kompromitteret din admin-adgang, er den direkte risiko moderat. Men manglende opdateringer opbygger over tid en sårbarhedsgæld, der gør enheden et lettere mål. Opdatering er den sikreste og hurtigste løsning.
Kan jeg bruge en midlertidig løsning i stedet for at opdatere?
QNAP anbefaler opdatering som den primære løsning. Som midlertidig foranstaltning kan du begrænse hvem der har administratoradgang og sikre, at enheden ikke er direkte tilgængelig fra internettet. Det er dog ikke en erstatning for opdateringen.
Ramte produkter
Qnap — Qts
≥ 5.2.0.2737, < 5.2.9.3410
Qnap — Quts Hero
≥ h5.2.0.2737, < h5.2.9.3410
Qnap — Quts Hero
≥ h5.3.0.3115, < h5.3.4.3500
Qnap — Quts Hero
≥ h6.0.0.3324, < h6.0.0.3397
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
A NULL pointer dereference vulnerability has been reported to affect several QNAP operating system versions. The remote attackers can then exploit the vulnerability to launch a denial-of-service (DoS) attack.
We have already fixed the vulnerability in the following versions:
QTS 5.2.9.3410 build 20260214 and later
QuTS hero h5.2.9.3410 build 20260214 and later
QuTS hero h5.3.4.3500 build 20260520 and later
QuTS hero h6.0.0.3397 build 20260206 and later
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
