CVE-2026-24716: Sårbarhed i QNAP QTS og QuTS hero
Sårbarhed i QNAP’s NAS-styresystem kan lukke din lagringsenhed ned, hvis en angriber har fået administratoradgang.
Hvad er det?
En sikkerhedsfejl i QNAP’s styresystemer QTS og QuTS hero kan få din NAS-enhed (en netværkstilsluttet lagerenhed) til at gå ned og holde op med at virke. Fejltypen kaldes en NULL pointer dereference, hvilket betyder, at softwaren forsøger at tilgå en hukommelsesadresse, der ikke eksisterer — det får systemet til at crashe. For at udnytte fejlen kræver det, at angriberen allerede har skaffet sig administratoradgang til enheden. Det giver angriberen mulighed for at udløse et såkaldt DoS-angreb (Denial of Service), som kortlægt betyder, at enheden bliver utilgængelig for dig og dine medarbejdere.
Hvem rammer det?
Sårbarheden rammer virksomheder og organisationer, der bruger QNAP NAS-enheder med følgende styresystemer:
- QTS version 5.2.0.2737 op til (men ikke inkl.) 5.2.9.3492
- QuTS hero h5.0.0 op til (men ikke inkl.) h5.2.9.3499
- QuTS hero h5.3.0.3115 op til (men ikke inkl.) h5.3.4.3500
- QuTS hero h6.0.0.3324 op til (men ikke inkl.) h6.0.0.3459
Har du en QNAP NAS, der bruges til fillagring, backup eller deling af data i din virksomhed, bør du tjekke, hvilken version du kører.
Hvad kan ske?
Hvis en angriber udnytter denne sårbarhed, kan følgende ske:
- Din NAS går ned: Enheden holder op med at svare og bliver utilgængelig — det kan stoppe adgangen til vigtige filer og backups.
- Driftsstop: Medarbejdere kan ikke tilgå delte drev eller systemer, der er afhængige af NAS-enheden.
- Fortrolighed og integritet truet: Sårbarhedens CVSS-score indikerer potentiale for høj påvirkning på både fortrolighed, integritet og tilgængelighed, såfremt angriberen allerede har administratoradgang.
Bemærk: Angriberen skal allerede have administratoradgang for at udnytte fejlen — det mindsker risikoen en smule, men er langt fra nogen garanti for sikkerhed.
Hvor alvorligt er det?
Sårbarheden er vurderet til 7.2 ud af 10 (Alvorlig) efter CVSS-skalaen. Det er en høj score, selvom angriberen kræver administratorrettigheder først. Her er nøglepunkterne:
- Angreb via netværk: Angrebet kan udføres over internettet — ingen fysisk adgang er nødvendig.
- Lav kompleksitet: Når administratoradgang er opnået, er angrebet nemt at udføre.
- Ingen brugerinteraktion: Angrebet kræver ikke, at du eller en medarbejder klikker på noget.
- Fuld påvirkning: Høj risiko for tab af fortrolighed, integritet og tilgængelighed af data.
Kravet om administratoradgang er den vigtigste begrænsende faktor. Alligevel er det velkendt, at QNAP-enheder jævnligt er mål for angreb, der netop sigter mod at opnå denne adgang.
Hvad gør jeg nu?
QNAP har udgivet opdateringer, der løser problemet. Følg disse trin for at beskytte din virksomhed:
- Log ind på din QNAP NAS via administratorgrænsefladen (typisk via en webbrowser på dit netværk).
- Tjek din nuværende version under Kontrolpanel → System → Firmwareopdatering.
- Opdatér til den seneste version svarende til dit styresystem:
- QTS: opdatér til version 5.2.9.3492 (build 20260507) eller nyere
- QuTS hero h5.x: opdatér til h5.2.9.3499 (build 20260514) eller nyere
- QuTS hero h5.3.x: opdatér til h5.3.4.3500 (build 20260520) eller nyere
- QuTS hero h6.0.x: opdatér til h6.0.0.3459 (build 20260409) eller nyere
- Gennemgå administratorkonti: Sørg for, at kun betroede personer har administratoradgang til enheden. Fjern ukendte eller unødvendige konti.
- Begræns eksponering mod internettet: Overvej om din QNAP NAS behøver at være direkte tilgængelig fra internettet — begræns adgang via firewall eller VPN.
- Aktiver to-faktor-godkendelse (2FA) på administratorkontoen, hvis det ikke allerede er gjort.
Opdatér inden for 7 dage
Vi anbefaler, at du opdaterer din QNAP NAS hurtigst muligt — helst inden for den næste uge. Selvom angriberen skal have administratoradgang først, er QNAP-enheder et hyppigt mål for hackere, og der findes mange metoder til at opnå netop den adgang. Sørg også for at gennemgå, hvem der har administratorrettigheder, og begræns din enheds eksponering mod internettet. Har du brug for hjælp til opdateringen eller en generel gennemgang af din NAS-sikkerhed, er du altid velkommen til at kontakte os hos Auroa.
Tidslinje
Konkrete eksempler
Angriber udnytter svagt kodeord til admin-adgang
En angriber scanner internettet og finder en QNAP NAS, der er eksponeret direkte mod nettet. Ved at prøve kendte standard-adgangskoder eller genbrugte kodeord fra tidligere datalæk opnår angriberen administratoradgang. Herefter udnytter angriberen CVE-2026-24716 til at crashe NAS-enheden, hvilket stopper adgangen til virksomhedens filserver og backup-løsning midt i arbejdsdagen.
Intern trussel via kompromitteret medarbejderkonto
En medarbejders computer inficeres med malware via en phishing-mail. Malwaren finder gemt administratoradgang til virksomhedens QNAP NAS og sender den videre til angriberen. Angriberen benytter nu adgangen til at udløse et DoS-angreb via CVE-2026-24716, som lægger NAS-enheden ned og forhindrer virksomheden i at tilgå kritiske data og backups.
Kombinationsangreb: Adgangseskalering efterfulgt af nedetid
En angriber udnytter først en anden, ældre sårbarhed i QNAP-enheden til at eskalere rettigheder og opnå administratorniveau. Derefter bruges CVE-2026-24716 til at forårsage et systemnedbrud. Angrebet gentages automatisk, hver gang enheden genstarter, hvilket holder virksomheden i en tilstand af vedvarende driftsforstyrrelser, indtil en opdatering installeres.
Ofte stillede spørgsmål
Hvad er en QNAP NAS, og ved jeg om vi har en?
En NAS (Network Attached Storage) er en netværkstilsluttet lagerenhed — tænk på den som en slags server, der bruges til at gemme og dele filer internt i virksomheden eller tage backups. QNAP er en af de mest udbredte producenter. Du kan spørge din IT-ansvarlige, eller kigge efter en fysisk enhed på kontoret med QNAP-logoet. Den vil typisk også dukke op i din netværksoversigt.
Er vi i fare, selvom vores NAS ikke er tilgængelig fra internettet?
Risikoen er lavere, hvis din NAS kun er tilgængelig internt på dit netværk. Men en angriber, der allerede har fået fodfæste internt — fx via phishing eller malware på en medarbejders computer — kan stadig udnytte sårbarheden. Opdateringen anbefales uanset hvad.
Hvad er risikoen ved at vente med opdateringen?
Jo længere du venter, jo større er risikoen for at blive ramt. Selv om der ikke er bekræftede aktive angreb mod denne specifikke sårbarhed endnu, er QNAP-enheder generelt et populært mål. Opdateringen koster typisk kun et par minutters nedetid på din NAS og er godt givet ud.
Kan opdateringen ødelægge noget eller slette vores data?
En firmwareopdatering på din QNAP NAS sletter ikke dine data under normale omstændigheder. Alligevel er det god praksis at tage en ekstra backup, inden du opdaterer. Opdateringsprocessen sker via enhedens eget administratorpanel og guider dig igennem forløbet trin for trin.
Hvad betyder det, at angriberen skal have administratoradgang?
Det betyder, at en angriber ikke kan udnytte denne fejl direkte uden videre — de skal først have skaffet sig adgang med administrative rettigheder til din NAS. Det kan ske via svage adgangskoder, genbrug af kodeord fra andre tjenester eller andre sårbarheder. Stærke, unikke adgangskoder og to-faktor-godkendelse er derfor vigtige forsvarsforanstaltninger.
Hvad sker der, hvis nogen lykkes med angrebet?
Angriberen kan få din NAS til at crashe og holde op med at fungere. Det betyder, at dine medarbejdere mister adgang til filer og backups, indtil enheden genstartes og er oppe igen. I værste fald kan gentagne angreb holde enheden nede i længere tid og forstyrre din drift markant.
Ramte produkter
Qnap — Qts
≥ 5.2.0.2737, < 5.2.9.3492
Qnap — Quts Hero
≥ h5.0.0, < h5.2.9.3499
Qnap — Quts Hero
≥ h5.3.0.3115, < h5.3.4.3500
Qnap — Quts Hero
≥ h6.0.0.3324, < h6.0.0.3459
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
A NULL pointer dereference vulnerability has been reported to affect several QNAP operating system versions. If a remote attacker gains an administrator account, they can then exploit the vulnerability to launch a denial-of-service (DoS) attack.
We have already fixed the vulnerability in the following versions:
QTS 5.2.9.3492 build 20260507 and later
QuTS hero h5.2.9.3499 build 20260514 and later
QuTS hero h5.3.4.3500 build 20260520 and later
QuTS hero h6.0.0.3459 build 20260409 and later
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
