CVE-2026-26239: Sårbarhed i QNAP File Station 5
Sårbarhed i QNAP File Station lader en angriber med brugerkonto ødelægge data eller crashe din NAS.
Hvad er det?
En bufferoverløbsfejl (en type programmeringsfejl, hvor for meget data skrives til et afgrænset hukommelsesområde) er opdaget i QNAP File Station 5. Fejlen giver en angriber mulighed for at manipulere programmets hukommelse eller tvinge processer til at gå ned. Angrebet kræver, at angriberen først har fået adgang til en brugerkonto på systemet — enten ved phishing, svage adgangskoder eller et tidligere databrud. Når kontoen er i hånden, kan angrebet gennemføres over nettet uden yderligere hjælp fra brugeren.
Hvem rammer det?
Sårbarheden rammer virksomheder og organisationer, der bruger QNAP NAS-enheder (en netværkstilsluttet harddisk til fildeling og backup) med File Station 5 i version 5.5.6.4691 op til — men ikke inklusiv — version 5.5.6.5208. Mange SMV’er bruger netop QNAP-enheder som central filserver eller backup-løsning, og er dermed i risikogruppen, hvis enheden ikke er opdateret.
Hvad kan ske?
Hvis en angriber udnytter fejlen, kan følgende ske:
- Dataintegritet ødelægges: Angriberen kan ændre filer og data på din NAS uden din vidende.
- Nedbrud af tjenester: Processer på enheden kan tvinges til at crashe, hvilket gør dine filer utilgængelige og kan lamme din filserver.
- Udgangspunkt for videre angreb: Et kompromitteret system kan bruges som springbræt til resten af dit netværk.
Bemærk at angriberen ikke direkte opnår adgang til at læse fortrolige data (fortrolighed er ikke påvirket), men skaden på driftsstabilitet og dataintegritet er betydelig.
Hvor alvorligt er det?
Sårbarheden er vurderet til CVSS 8.1 ud af 10 — Alvorlig. Det skyldes, at angrebet kan udføres over nettet med lav kompleksitet og kun kræver en almindelig brugerkonto — ikke administratorrettigheder. Der er ingen yderligere handling påkrævet fra ofrets side. Konsekvenserne for din datas integritet og systemets tilgængelighed er begge vurderet som høje. Samlet set er dette en sårbarhed, der bør patches hurtigt.
Hvad gør jeg nu?
Du bør opdatere QNAP File Station 5 hurtigst muligt. Følg disse trin:
- Tjek din version: Log ind på din QNAP-enhed, gå til App Center og find File Station. Notér versionsnummeret.
- Opdater til version 5.5.6.5208 eller nyere: Gå til App Center → File Station → Klik ‘Opdater’. Har du automatiske opdateringer slået til, bør opdateringen allerede være installeret.
- Gennemgå brugerkonti: Sørg for at fjerne ukendte eller inaktive brugerkonti og skift adgangskoder — særligt hvis du mistænker, at en konto kan være kompromitteret.
- Begræns eksponering: Hvis din QNAP ikke behøver at være tilgængelig direkte fra internettet, så deaktivér port-forwarding og overvej at stille adgang bag en VPN.
- Hold øje med logs: Tjek enhedens adgangslog for usædvanlig aktivitet de seneste dage.
Opdatér inden for 1-2 hverdage
QNAP har udgivet en rettelse i File Station 5.5.6.5208, og du bør installere denne opdatering hurtigst muligt — helst inden for de næste to hverdage. Sørg samtidig for, at din NAS ikke er direkte tilgængelig fra internettet uden beskyttelse som VPN eller firewall. Har du brug for hjælp til at gennemgå din QNAP-konfiguration eller brugerstyring, er du velkommen til at kontakte os hos Auroa.
Tidslinje
Konkrete eksempler
Angriber overtager medarbejderkonto og crasher filserveren
En angriber skaffer sig adgang til en medarbejders QNAP-brugerkonto via et phishing-angreb med et falsk login-link. Med kontoen i hånden sender angriberen en særligt udformet forespørgsel til File Station, der udløser bufferoverløbet. Resultatet er, at File Station crasher, og alle medarbejdere mister adgang til virksomhedens fælles drev midt i arbejdsdagen.
Manipulation af vigtige forretningsdokumenter
En tidligere ansat, der stadig har en aktiv brugerkonto, udnytter sårbarheden til at skrive data ind i hukommelsen på en måde, der ændrer indholdet af filer på NAS-enheden. Virksomheden opdager først problemet, da kunder klager over fejl i de dokumenter, de har modtaget — og det er uklart, hvilke andre filer der kan være ændret.
Ransomware-aktør bruger QNAP som indgangspunkt
En angriber med adgang til en svagt sikret QNAP-konto kombinerer bufferoverløbsfejlen med andre teknikker for at destabilisere systemet og forhindre backup-processer i at køre korrekt. Dette giver angriberen mulighed for at kryptere data på NAS-enheden uden at en fungerende backup er til stede, hvilket er et klassisk ransomware-scenario rettet mod QNAP-enheder.
Ofte stillede spørgsmål
Har jeg den sårbare version?
Du er i risikogruppen, hvis du kører QNAP File Station 5 i en version mellem 5.5.6.4691 og 5.5.6.5207 (begge inklusiv). Log ind på din QNAP, åbn App Center, og find File Station for at se dit versionsnummer. Er du på 5.5.6.5208 eller nyere, er du ikke sårbar.
Kan angriberen tilgå mine filer uden adgangskode?
Nej — angriberen skal først have skaffet sig en brugerkonto på systemet. Sårbarheden kræver altså et indledende kompromis af en konto, eksempelvis via et svagt kodeord eller phishing. Uden en gyldig konto kan selve bufferoverløbsfejlen ikke udnyttes.
Er mine data blevet stjålet?
Selve sårbarheden påvirker ikke fortrolighed — det vil sige, den giver ikke direkte adgang til at læse dine filer. Risikoen er primært, at data kan ændres eller slettes, og at systemet kan crashe. Har du mistanke om, at en konto er blevet misbrugt, bør du gennemgå dine adgangslogs og skifte adgangskoder.
Hvad er et bufferoverløb, og hvorfor er det farligt?
Et bufferoverløb opstår, når et program modtager mere data, end det har afsat plads til i hukommelsen. De overskydende data kan overskrive naboområder i hukommelsen og på den måde enten få programmet til at crashe eller — i visse tilfælde — tvinge det til at udføre ondsindet kode. Det er en klassisk, men fortsat udbredt type fejl i software.
Skal jeg bekymre mig, hvis min QNAP kun er tilgængelig på det lokale netværk?
Risikoen er markant lavere, hvis din QNAP-enhed ikke er eksponeret direkte mod internettet. Angrebet kræver dog kun en brugerkonto, så interne brugere eller malware allerede inde på netværket udgør stadig en risiko. Du bør opdatere uanset hvad og overveje at begrænse adgang yderligere.
Hvad gør jeg, hvis jeg ikke selv kan opdatere min QNAP?
Kontakt din IT-leverandør eller Auroa for hjælp. Som midlertidig foranstaltning bør du sikre, at enheden ikke er tilgængelig fra internettet, og at du deaktiverer unødvendige brugerkonti, indtil opdateringen er installeret.
Ramte produkter
Qnap — File Station
≥ 5.5.6.4691, < 5.5.6.5208
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
A buffer overflow vulnerability has been reported to affect File Station 5. If a remote attacker gains a user account, they can then exploit the vulnerability to modify memory or crash processes.
We have already fixed the vulnerability in the following version:
File Station 5 5.5.6.5208 and later
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
