CVE-2025-66273: Kritisk sårbarhed i QNAP NAS
Kritisk sårbarhed i QNAP NAS-enheder giver angribere med admin-adgang fuld kontrol via skjulte kommandoer.
Hvad er det?
CVE-2025-66273 er en såkaldt command injection-sårbarhed (fejl der lader en angriber sende skjulte systemkommandoer) i QNAP’s styresystemer QTS og QuTS hero. Fejlen betyder, at en angriber der allerede har skaffet sig administratoradgang til din QNAP-enhed, kan køre vilkårlige kommandoer direkte på enheden — uden yderligere godkendelse. QNAP har udgivet opdateringer der lukker hullet, og du bør installere dem hurtigst muligt.
Hvem rammer det?
Sårbarheden rammer virksomheder og organisationer der bruger QNAP NAS-enheder (netværkstilknyttede lagerenheder) med følgende styresystemer:
- QTS version 5.2.0.2737 op til (men ikke inkl.) 5.2.9.3410
- QuTS hero version h5.2.0.2737 op til h5.2.9.3410
- QuTS hero version h5.3.0.3115 op til h5.3.4.3500
- QuTS hero version h6.0.0.3324 op til h6.0.0.3397
Har din QNAP-enhed en af disse versioner og er tilgængelig fra internettet, er du i særlig risiko.
Hvad kan ske?
Hvis en angriber udnytter denne sårbarhed, kan konsekvenserne være alvorlige:
- Datatyveri: Alle filer på NAS-enheden kan kopieres og sendes ud af virksomheden.
- Ransomware: Angriberen kan kryptere samtlige lagrede filer og kræve løsesum.
- Systemovertagelse: Enheden kan misbruges som springbræt til resten af dit netværk.
- Datatab: Filer kan slettes eller ødelægges permanent.
Bemærk at angriberen først skal have skaffet sig administratoradgang — men QNAP-enheder er hyppige mål for angreb der netop sigter mod at kapre admin-konti.
Hvor alvorligt er det?
Sårbarheden er vurderet til CVSS 7.2 (Alvorlig) ud af 10. Angrebet kan gennemføres over netværket uden fysisk adgang, og kræver ingen interaktion fra dig som bruger. Den eneste begrænsning er, at angriberen først skal have fat i en administratorkonto. Konsekvenserne for fortrolighed, integritet og tilgængelighed er alle vurderet til høje — det vil sige at alt data kan kompromitteres og enheden kan sættes ud af drift.
Hvad gør jeg nu?
Følg disse trin for at beskytte din QNAP-enhed hurtigst muligt:
- Find din version: Log ind på din QNAP’s administrationsgrænseflade og tjek under Kontrolpanel → System → Firmwareopdatering hvilken version du kører.
- Opdater straks: Installer den nyeste firmware — QTS 5.2.9.3410 (build 20260214) eller nyere, eller den relevante QuTS hero-version til din enhed.
- Tjek administratorkonti: Gennemgå listen over brugerkonti og fjern ukendte eller unødvendige administratorkonti.
- Skift adgangskoder: Skift adgangskoden på alle administratorkonti til stærke, unikke kodeord.
- Begræns internetadgang: Overvej om din QNAP-enhed overhovedet skal være tilgængelig direkte fra internettet — brug i stedet VPN hvis fjernadgang er nødvendig.
- Aktiver to-faktor-godkendelse: Slå to-faktor-godkendelse (ekstra bekræftelsestrin ved login) til på alle administratorkonti.
Opdatér inden for 7 dage
QNAP NAS-enheder er et velkendt mål for angribere, og command injection-sårbarheder som denne er særligt farlige fordi de giver fuld kontrol over enheden. Vi anbefaler, at du opdaterer din firmware i løbet af denne uge og gennemgår dine administratorkonti og adgangskoder. Er din NAS tilgængelig direkte fra internettet, bør du overveje at lukke for den direkte adgang og i stedet bruge VPN — det reducerer din angrebsflade markant og beskytter dig mod fremtidige sårbarheder.
Tidslinje
Konkrete eksempler
Ransomware via kompromitteret admin-konto
En angriber gætter eller stjæler adgangskoden til administrator-kontoen på en QNAP NAS, der er eksponeret direkte mod internettet. Via command injection-sårbarheden installerer angriberen ransomware, der krypterer alle virksomhedens backup-filer. Virksomheden modtager herefter et krav om løsesum for at gendanne adgangen til sine data.
Dataeksfiltrering af følsomme filer
En angriber opnår administratoradgang til en QNAP-enhed hos en SMV og udnytter command injection til at køre et script, der automatisk kopierer og sender alle dokumenter, regnskaber og kundeoplysninger til en ekstern server. Virksomheden opdager først bruddet uger senere ved en tilfældighed.
NAS som springbræt ind i virksomhedsnetværket
Efter at have overtaget QNAP-enheden via sårbarheden bruger angriberen den som base for at scanne og angribe andre enheder på virksomhedens interne netværk — herunder computere, printere og servere. Fordi NAS-enheden befinder sig inden for netværket, omgår angriberen de fleste ydre sikkerhedsforanstaltninger.
Ofte stillede spørgsmål
Skal angriberen have fysisk adgang til min enhed for at udnytte sårbarheden?
Nej. Angrebet kan gennemføres over internettet, forudsat at angriberen har eller kan skaffe sig administratoradgang til din QNAP-enhed. Det er derfor ekstra vigtigt at bruge stærke adgangskoder og to-faktor-godkendelse.
Hvordan ved jeg, om min QNAP er sårbar?
Log ind på din QNAP’s webgrænseflade og gå til Kontrolpanel → System → Firmwareopdatering. Er din version ældre end QTS 5.2.9.3410 eller den relevante QuTS hero-version, er du sårbar og bør opdatere straks.
Er det nok at opdatere, eller skal jeg gøre andet?
Opdateringen lukker selve sårbarheden, men du bør også gennemgå og styrke sikkerheden generelt: skift adgangskoder, fjern ukendte brugerkonti, aktiver to-faktor-godkendelse og overvej at fjerne direkte internetadgang til enheden.
Vi bruger vores QNAP til backup — hvad risikerer vi konkret?
En angriber med adgang kan potentielt slette, kryptere eller eksfiltrere (stjæle) alle dine backupfiler. Mister du adgang til dine backups, kan det betyde permanent datatab eller krav om løsesum for at genfå adgang til dine data.
Hvad er command injection, og hvorfor er det farligt?
Command injection betyder at en angriber kan ‘snige’ egne systemkommandoer ind i enhedens software og få dem udført, som om de kom fra enheden selv. Det giver i praksis fuld kontrol over enheden — angriberen kan læse, ændre og slette alt, og installere skadelig software.
Ramte produkter
Qnap — Qts
≥ 5.2.0.2737, < 5.2.9.3410
Qnap — Quts Hero
≥ h5.2.0.2737, < h5.2.9.3410
Qnap — Quts Hero
≥ h5.3.0.3115, < h5.3.4.3500
Qnap — Quts Hero
≥ h6.0.0.3324, < h6.0.0.3397
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
A command injection vulnerability has been reported to affect several QNAP operating system versions. If a remote attacker gains an administrator account, they can then exploit the vulnerability to execute arbitrary commands.
We have already fixed the vulnerability in the following versions:
QTS 5.2.9.3410 build 20260214 and later
QuTS hero h5.2.9.3410 build 20260214 and later
QuTS hero h5.3.4.3500 build 20260520 and later
QuTS hero h6.0.0.3397 build 20260206 and later
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
