Angriffsvektor?
So wie sich das mit dem Admin Kennwort liest scheint das ja schlicht Brute Force / Dictionary via einem von extern erreichbaren Webinterface/Admin UI zu sein.
Da bieten sowohl Synology als auch QNAP seit Jahren die Möglichkeit nach 3 Fehlversuchen den User für X Min zu sperren.