CVE-2026-24716
Alvorlig

CVE-2026-24716: Sårbarhed i QNAP QTS og QuTS hero

Sårbarhed i QNAP’s NAS-styresystem kan lukke din lagringsenhed ned, hvis en angriber har fået administratoradgang.

CVSS Score
7.2
Offentliggjort
10/06/2026
Patch-status
available
Exploit
theoretical
Tidsfrist
Opdatér inden for 7 dage

Hvad er det?

En sikkerhedsfejl i QNAP’s styresystemer QTS og QuTS hero kan få din NAS-enhed (en netværkstilsluttet lagerenhed) til at gå ned og holde op med at virke. Fejltypen kaldes en NULL pointer dereference, hvilket betyder, at softwaren forsøger at tilgå en hukommelsesadresse, der ikke eksisterer — det får systemet til at crashe. For at udnytte fejlen kræver det, at angriberen allerede har skaffet sig administratoradgang til enheden. Det giver angriberen mulighed for at udløse et såkaldt DoS-angreb (Denial of Service), som kortlægt betyder, at enheden bliver utilgængelig for dig og dine medarbejdere.

Hvem rammer det?

Sårbarheden rammer virksomheder og organisationer, der bruger QNAP NAS-enheder med følgende styresystemer:

  • QTS version 5.2.0.2737 op til (men ikke inkl.) 5.2.9.3492
  • QuTS hero h5.0.0 op til (men ikke inkl.) h5.2.9.3499
  • QuTS hero h5.3.0.3115 op til (men ikke inkl.) h5.3.4.3500
  • QuTS hero h6.0.0.3324 op til (men ikke inkl.) h6.0.0.3459

Har du en QNAP NAS, der bruges til fillagring, backup eller deling af data i din virksomhed, bør du tjekke, hvilken version du kører.

Hvad kan ske?

Hvis en angriber udnytter denne sårbarhed, kan følgende ske:

  • Din NAS går ned: Enheden holder op med at svare og bliver utilgængelig — det kan stoppe adgangen til vigtige filer og backups.
  • Driftsstop: Medarbejdere kan ikke tilgå delte drev eller systemer, der er afhængige af NAS-enheden.
  • Fortrolighed og integritet truet: Sårbarhedens CVSS-score indikerer potentiale for høj påvirkning på både fortrolighed, integritet og tilgængelighed, såfremt angriberen allerede har administratoradgang.

Bemærk: Angriberen skal allerede have administratoradgang for at udnytte fejlen — det mindsker risikoen en smule, men er langt fra nogen garanti for sikkerhed.

Hvor alvorligt er det?

Sårbarheden er vurderet til 7.2 ud af 10 (Alvorlig) efter CVSS-skalaen. Det er en høj score, selvom angriberen kræver administratorrettigheder først. Her er nøglepunkterne:

  • Angreb via netværk: Angrebet kan udføres over internettet — ingen fysisk adgang er nødvendig.
  • Lav kompleksitet: Når administratoradgang er opnået, er angrebet nemt at udføre.
  • Ingen brugerinteraktion: Angrebet kræver ikke, at du eller en medarbejder klikker på noget.
  • Fuld påvirkning: Høj risiko for tab af fortrolighed, integritet og tilgængelighed af data.

Kravet om administratoradgang er den vigtigste begrænsende faktor. Alligevel er det velkendt, at QNAP-enheder jævnligt er mål for angreb, der netop sigter mod at opnå denne adgang.

Hvad gør jeg nu?

QNAP har udgivet opdateringer, der løser problemet. Følg disse trin for at beskytte din virksomhed:

  1. Log ind på din QNAP NAS via administratorgrænsefladen (typisk via en webbrowser på dit netværk).
  2. Tjek din nuværende version under Kontrolpanel → System → Firmwareopdatering.
  3. Opdatér til den seneste version svarende til dit styresystem:
    • QTS: opdatér til version 5.2.9.3492 (build 20260507) eller nyere
    • QuTS hero h5.x: opdatér til h5.2.9.3499 (build 20260514) eller nyere
    • QuTS hero h5.3.x: opdatér til h5.3.4.3500 (build 20260520) eller nyere
    • QuTS hero h6.0.x: opdatér til h6.0.0.3459 (build 20260409) eller nyere
  4. Gennemgå administratorkonti: Sørg for, at kun betroede personer har administratoradgang til enheden. Fjern ukendte eller unødvendige konti.
  5. Begræns eksponering mod internettet: Overvej om din QNAP NAS behøver at være direkte tilgængelig fra internettet — begræns adgang via firewall eller VPN.
  6. Aktiver to-faktor-godkendelse (2FA) på administratorkontoen, hvis det ikke allerede er gjort.
Tidsfrist

Opdatér inden for 7 dage

Sådan ser Auroa det

Vi anbefaler, at du opdaterer din QNAP NAS hurtigst muligt — helst inden for den næste uge. Selvom angriberen skal have administratoradgang først, er QNAP-enheder et hyppigt mål for hackere, og der findes mange metoder til at opnå netop den adgang. Sørg også for at gennemgå, hvem der har administratorrettigheder, og begræns din enheds eksponering mod internettet. Har du brug for hjælp til opdateringen eller en generel gennemgang af din NAS-sikkerhed, er du altid velkommen til at kontakte os hos Auroa.

Tidslinje

09/04/2026
Første patch udgivet (QuTS hero h6.0.0.3459)
QNAP udgiver en rettelse til QuTS hero h6.0.0.3459 build 20260409 som den første afhjælpning af sårbarheden.
07/05/2026
Patch til QTS 5.2.9.3492 udgivet
QNAP udgiver opdatering til QTS version 5.2.9.3492 build 20260507, som dækker det mest udbredte styresystem.
14/05/2026
Patch til QuTS hero h5.2.9.3499 udgivet
QNAP følger op med en opdatering til QuTS hero h5.2.9.3499 build 20260514.
20/05/2026
Patch til QuTS hero h5.3.4.3500 udgivet
Den sidste planlagte opdatering til QuTS hero h5.3.4.3500 build 20260520 frigives, og alle berørte versioner er nu dækket.
10/06/2026
CVE-2026-24716 offentliggjort i NVD
Sårbarheden offentliggøres officielt i National Vulnerability Database (NVD), og information er nu tilgængelig for offentligheden.

Konkrete eksempler

Angriber udnytter svagt kodeord til admin-adgang

En angriber scanner internettet og finder en QNAP NAS, der er eksponeret direkte mod nettet. Ved at prøve kendte standard-adgangskoder eller genbrugte kodeord fra tidligere datalæk opnår angriberen administratoradgang. Herefter udnytter angriberen CVE-2026-24716 til at crashe NAS-enheden, hvilket stopper adgangen til virksomhedens filserver og backup-løsning midt i arbejdsdagen.

Intern trussel via kompromitteret medarbejderkonto

En medarbejders computer inficeres med malware via en phishing-mail. Malwaren finder gemt administratoradgang til virksomhedens QNAP NAS og sender den videre til angriberen. Angriberen benytter nu adgangen til at udløse et DoS-angreb via CVE-2026-24716, som lægger NAS-enheden ned og forhindrer virksomheden i at tilgå kritiske data og backups.

Kombinationsangreb: Adgangseskalering efterfulgt af nedetid

En angriber udnytter først en anden, ældre sårbarhed i QNAP-enheden til at eskalere rettigheder og opnå administratorniveau. Derefter bruges CVE-2026-24716 til at forårsage et systemnedbrud. Angrebet gentages automatisk, hver gang enheden genstarter, hvilket holder virksomheden i en tilstand af vedvarende driftsforstyrrelser, indtil en opdatering installeres.

Ofte stillede spørgsmål

Ramte produkter

Qnap — Qts

≥ 5.2.0.2737, < 5.2.9.3492

Qnap — Quts Hero

≥ h5.0.0, < h5.2.9.3499

Qnap — Quts Hero

≥ h5.3.0.3115, < h5.3.4.3500

Qnap — Quts Hero

≥ h6.0.0.3324, < h6.0.0.3459

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
HIGH
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

CWE-476

Original NVD-beskrivelse (engelsk)

A NULL pointer dereference vulnerability has been reported to affect several QNAP operating system versions. If a remote attacker gains an administrator account, they can then exploit the vulnerability to launch a denial-of-service (DoS) attack.

We have already fixed the vulnerability in the following versions:
QTS 5.2.9.3492 build 20260507 and later
QuTS hero h5.2.9.3499 build 20260514 and later
QuTS hero h5.3.4.3500 build 20260520 and later
QuTS hero h6.0.0.3459 build 20260409 and later

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
7.2
Visning
Hurtige fakta
CVE-ID
CVE-2026-24716
Offentliggjort
10/06/2026
Sidst opdateret
17/06/2026
Exploit-status
theoretical
Patch-status
available
Tidsfrist
Opdatér inden for 7 dage

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.