CVE-2026-24724: Sårbarhed i QNAP File Station
Sikkerhedshul i QNAP File Station lader angribere med en alm. brugerkonto tilgå og ændre filer uden tilladelse.
Hvad er det?
CVE-2026-24724 er en sårbarhed i QNAP File Station, som er den filhåndteringsfunktion der følger med QNAP’s NAS-enheder (netværkstilsluttede lagringsdrev). Fejlen skyldes forkert adgangskontrol (CWE-863), hvilket betyder at softwaren ikke tjekker ordentligt, om en bruger faktisk har lov til at se eller ændre bestemte filer. En angriber, der blot har fået fat i én almindelig brugerkonto på systemet, kan udnytte fejlen til at omgå adgangsbegrænsninger og få adgang til data, han normalt ikke burde kunne se eller redigere. Problemet rammer versioner af File Station 5 fra 5.5.6.4691 op til, men ikke inkluderende, 5.5.6.5243.
Hvem rammer det?
Sårbarheden rammer dig, hvis din virksomhed bruger en QNAP NAS-enhed med File Station 5 i versionsintervallet 5.5.6.4691 til og med 5.5.6.5242, og enheden er tilgængelig via netværket — enten internt eller fra internettet. Det er særligt relevant for SMV’er der bruger QNAP-drev til fildeling, backup eller dokumentlagring. Har I flere brugerkonti på jeres QNAP — f.eks. til medarbejdere eller samarbejdspartnere — øges risikoen, fordi angriberen kun behøver adgang til én enkelt konto.
Hvad kan ske?
Hvis en angriber udnytter fejlen, kan vedkommende:
- Læse fortrolige filer og dokumenter, som de ikke burde have adgang til — f.eks. regnskaber, kontrakter eller persondata
- Ændre eller overskrive filer på tværs af mapper og brugerrettigheder
- Potentielt bruge adgangen som springbræt til andre systemer på jeres netværk
Det kan betyde brud på GDPR-reglerne (persondataforordningen), tab af forretningshemmeligheder og skade på virksomhedens omdømme. Bemærk at selve tilgængeligheden af drevet (A=NONE) ikke påvirkes — angriberen kan altså ikke slukke for det, men kan til gengæld læse og manipulere data.
Hvor alvorligt er det?
Sårbarheden er vurderet til CVSS-score 8.1 ud af 10 (Alvorlig). Den høje score skyldes især:
- Netværksbaseret angreb: Angriberen behøver ikke fysisk adgang — angrebet kan ske over internettet
- Lav kompleksitet: Teknikken er ikke særligt svær at udføre
- Lave krav til rettigheder: En helt almindelig brugerkonto er nok — ingen administratoradgang kræves
- Høj fortroligheds- og integritetspåvirkning: Både læsning og ændring af data er mulig
Samlet set er dette en sårbarhed, der kræver hurtig handling, men som ikke udgør en øjeblikkelig katastrofe, så længe angribere ikke allerede har en konto på jeres QNAP.
Hvad gør jeg nu?
Opdater din QNAP File Station hurtigst muligt. Følg disse trin:
- Tjek din version: Log ind på din QNAP’s administrationspanel, gå til App Center og find File Station. Notér versionsnummeret.
- Opdater til version 5.5.6.5243 eller nyere: Klik på ‘Opdater’ i App Center, eller download opdateringen manuelt fra QNAP’s supportside.
- Genstart om nødvendigt: Følg vejledningen på skærmen. Visse opdateringer kræver genstart af NAS-enheden.
- Gennemgå brugerkonti: Slet eller deaktiver konti til tidligere medarbejdere og samarbejdspartnere, der ikke længere har brug for adgang.
- Begræns netværksadgang: Overvej om File Station skal være tilgængeligt direkte fra internettet, eller om det kan begrænses til jeres interne netværk eller VPN.
- Kontrollér adgangslogge: Tjek QNAP’s logfiler for usædvanlig aktivitet de seneste uger for at udelukke, at nogen allerede har udnyttet sårbarheden.
Opdater inden for 7 dage
Vi anbefaler, at du opdaterer File Station til version 5.5.6.5243 eller nyere så hurtigt som muligt — helst inden for den næste uge. Opdateringen er tilgængelig nu og løser problemet direkte. Sørg samtidig for at gennemgå, hvem der har brugerkonti på jeres QNAP, og fjern adgange der ikke længere er nødvendige — det begrænser angrebsfladen markant. Har I behov for hjælp til opdatering eller til at vurdere om I er blevet ramt, er du velkommen til at kontakte os.
Tidslinje
Konkrete eksempler
Tidligere medarbejder tilgår fortrolige filer
En tidligere medarbejders brugerkonto på virksomhedens QNAP-drev er ikke blevet slettet efter fratrædelsen. Den tidligere medarbejder logger ind med sine gamle loginoplysninger og udnytter sårbarheden til at tilgå mapper med kontrakter og lønsedler, som vedkommende aldrig har haft adgang til. Virksomheden opdager det ikke, fordi adgangen tilsyneladende sker via en legitim konto.
Phishing-angreb åbner døren til NAS-drevet
En medarbejder modtager en phishing-mail og afgiver sine QNAP-loginoplysninger på en falsk side. Angriberen bruger disse oplysninger til at logge ind på virksomhedens QNAP-enhed og udnytter derefter CVE-2026-24724 til at gennemse og kopiere filer på tværs af alle afdelingsmapper — herunder kundelister og budgetdokumenter — selv om medarbejderens konto normalt kun har adgang til én afdeling.
Manipulation af delte projektfiler
En ekstern samarbejdspartner med en gæstekonto på virksomhedens QNAP udnytter sårbarheden til at overskrive vigtige projektfiler i mapper, vedkommende ikke burde have skriveadgang til. Da filerne ændres lydløst, opdages sabotagen først uger senere, hvilket medfører forsinkelser og ekstraomkostninger i et igangværende projekt.
Ofte stillede spørgsmål
Skal vi være forbundet til internettet for at være i fare?
Ikke nødvendigvis. Angrebet kan ske over ethvert netværk, som din QNAP er tilsluttet — også dit interne virksomhedsnetværk. Hvis en medarbejder med en kompromitteret konto sidder på kontoret, er risikoen den samme. Har I QNAP eksponeret direkte mod internettet, er risikoen dog væsentligt større.
Hvad betyder det, at angriberen skal have en brugerkonto?
Det betyder, at en tilfældig fremmed ikke kan angribe jer uden videre. Angriberen skal først skaffe sig en gyldig brugerkonto på jeres QNAP — f.eks. ved at gætte et svagt kodeord, ved phishing (vildledende e-mails) eller ved at købe stjålne loginoplysninger. Derfor er stærke adgangskoder og fjernelse af ubrugte konti en vigtig sikkerhedsforanstaltning.
Kan vi midlertidigt beskytte os, hvis vi ikke kan opdatere med det samme?
Ja, delvist. Begræns adgangen til File Station ved at slå ekstern adgang fra, og sørg for at kun nødvendige brugere har aktive konti. Overvej at kræve VPN-forbindelse for at tilgå QNAP udefra. Det løser ikke selve fejlen, men reducerer risikoen betydeligt, indtil I kan installere opdateringen.
Hvordan ved vi, om nogen allerede har udnyttet sårbarheden?
Log ind på QNAP’s administrationspanel og gennemgå systemlogfilerne under ‘Log Center’. Kig efter usædvanlige adgangsforsøg, uventede fil-ændringer eller logins på mærkelige tidspunkter. Er I usikre på, hvad I leder efter, kan Auroa hjælpe med en gennemgang.
Rammer dette kun File Station 5, eller er File Station 6 også berørt?
NVD-beskrivelsen nævner File Station 6 i den originale rapport, men den tilgængelige rettelse er udgivet til File Station 5 (version 5.5.6.5243 og nyere). Hold øje med opdateringer fra QNAP vedrørende File Station 6, og tjek QNAP’s sikkerhedsbulletiner på deres officielle hjemmeside for den seneste status.
Skal vi anmelde dette til Datatilsynet, hvis vi er blevet ramt?
Hvis I har grund til at tro, at persondata er blevet tilgået eller ændret uden tilladelse, kan det udgøre et databrud under GDPR. I så fald har I som udgangspunkt 72 timer til at anmelde det til Datatilsynet. Kontakt Auroa eller jeres juridiske rådgiver for at vurdere, om en anmeldelse er nødvendig i jeres situation.
Ramte produkter
Qnap — File Station
≥ 5.5.6.4691, < 5.5.6.5243
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
An incorrect authorization vulnerability has been reported to affect File Station 6. If a remote attacker gains a user account, they can then exploit the vulnerability to bypass intended access restrictions.
We have already fixed the vulnerability in the following version:
File Station 5 5.5.6.5243 and later
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
