CVE-2026-8644: Kritisk fejl i IBM WebSphere
Kritisk sårbarhed i IBM WebSphere lader angribere udgive sig for andre brugere og ødelægge eller slette data uden adgangskode.
Hvad er det?
CVE-2026-8644 er en kritisk sårbarhed i IBM WebSphere Application Server — en populær platform til at køre forretningsapplikationer. Fejlen skyldes en svaghed i den måde, systemet verificerer, hvem der er hvem (såkaldt identitetsspoofing, hvor en angriber udgiver sig for at være en legitim bruger). Teknisk set er fejlen klassificeret som CWE-290, hvilket betyder, at systemet kan snydes til at acceptere en falsk identitet. Angriberen behøver ingen adgangskode eller særlige rettigheder — og brugeren behøver ikke gøre noget forkert. Angrebet kan udføres direkte over internettet.
Hvem rammer det?
Sårbarheden rammer virksomheder, der kører IBM WebSphere Application Server i følgende versioner:
- Version 8.5 — alle versioner fra 8.5.0.0 op til (men ikke inkl.) 8.5.5.30
- Version 9.0 — alle versioner fra 9.0.0.0 op til (men ikke inkl.) 9.0.5.29
Er din virksomhed selv vært for WebSphere, eller bruger I forretningssystemer leveret af en ekstern leverandør, der kører på WebSphere, kan I være berørt. Kontakt din IT-leverandør, hvis du er i tvivl.
Hvad kan ske?
En angriber, der udnytter denne sårbarhed, kan udgive sig for at være en legitim bruger i dit system — uden at kende dennes adgangskode. Det betyder i praksis:
- Manipulation af data: Angriberen kan ændre, slette eller oprette data i de applikationer, der kører på serveren.
- Afbrydelse af drift: Kritiske forretningsprocesser kan saboteres eller sættes ud af drift.
- Misbrug af brugerrettigheder: Hvis den udgavne bruger har administrative rettigheder, kan skaden blive langt større.
Bemærk: Selve indholdet af data (fortrolighed) kompromitteres ikke direkte af denne sårbarhed — men integritet og tilgængelighed er i høj risiko.
Hvor alvorligt er det?
Sårbarheden er vurderet til CVSS-score 9.1 ud af 10 — kritisk. Det er en af de højest mulige scoringer. Her er hvorfor det er så alvorligt:
- Ingen adgangskode kræves: Angriberen behøver ikke at kende brugeroplysninger.
- Ingen brugerhandling kræves: Du eller dine medarbejdere behøver ikke klikke på noget.
- Angreb over internettet: Det kan udføres af hvem som helst, fra hvor som helst i verden.
- Lav teknisk kompleksitet: Angrebet er ikke svært at udføre for en erfaren angriber.
Hvad gør jeg nu?
Du bør handle hurtigt. Følg disse trin:
- Find ud af, om du er berørt: Spørg din IT-ansvarlige eller leverandør, hvilken version af IBM WebSphere I kører. Tjek om den falder inden for de berørte versioner (8.5.0.0–8.5.5.29 eller 9.0.0.0–9.0.5.28).
- Opdatér straks: Installer IBM’s officielle opdatering til version 8.5.5.30 eller 9.0.5.29 (eller nyere). Opdateringen er tilgængelig fra IBM’s supportportal.
- Begræns adgang midlertidigt: Hvis opdatering ikke kan ske med det samme, bør du overveje at begrænse adgangen til serveren fra internettet, til opdateringen er på plads.
- Gennemgå adgangslogge: Bed din IT-ansvarlige om at tjekke logfiler for usædvanlig aktivitet de seneste uger.
- Informér din leverandør: Bruger I en ekstern løsning bygget på WebSphere, skal leverandøren orienteres og bekræfte, at de har opdateret.
Opdatér inden for 72 timer
Med en CVSS-score på 9.1 og et angrebsmønster, der ikke kræver hverken adgangskode eller brugerinteraktion, er dette en sårbarhed, du ikke kan tillade dig at vente med at håndtere. Vi anbefaler, at du kontakter din IT-ansvarlige eller leverandør i dag og verificerer, om I kører en berørt version. Opdatering bør ske inden for 72 timer. Har du brug for hjælp til at vurdere din eksponering eller gennemføre opdateringen, er du velkommen til at kontakte Auroa.
Tidslinje
Konkrete eksempler
Angriber overtager administratorkonto
En angriber identificerer en virksomheds WebSphere-server via internettet og udnytter identitetsspoofing-fejlen til at udgive sig for at være en administrator. Uden at kende adgangskoden får angriberen adgang til administrative funktioner og ændrer konfigurationer, sletter logfiler for at skjule aktiviteten, og opretter en skjult bagdørsbruger til fremtidig adgang.
Sabotage af forretningskritisk applikation
En konkurrent eller utilfreds aktør udnytter sårbarheden til at udgive sig for en betroet systembruger i en virksomheds ordrehåndteringssystem, der kører på WebSphere. Angriberen sletter eller ændrer aktive ordrer og kundedata, hvilket forårsager driftsforstyrrelser, tab af omsætning og skade på kunderelationer — uden at efterlade spor, der let kan spores tilbage.
Ransomware-forberedelse via falsk identitet
En angriber bruger identitetsspoofing til at bevæge sig rundt i et virksomhedsnetværk med en legitim brugers rettigheder. Over flere dage kortlægger angriberen systemet og placerer ransomware strategisk, inden det aktiveres. Fordi aktiviteten ser ud til at komme fra en reel bruger, opdager sikkerhedssystemer det ikke i tide.
Ofte stillede spørgsmål
Hvordan ved jeg, om vi kører IBM WebSphere?
Mange virksomheder kører WebSphere uden at vide det, fordi det ligger bag et forretningssystem leveret af en ekstern part. Spørg din IT-ansvarlige eller systemleverandør direkte: ‘Kører vores system på IBM WebSphere Application Server, og hvilken version?’ De bør kunne svare hurtigt.
Er vores data blevet stjålet?
Denne sårbarhed påvirker primært integritet (ændring/sletning af data) og tilgængelighed (nedbrud/sabotage) — ikke direkte fortrolighed. Det betyder, at selve indholdet af dine data ikke nødvendigvis er læst eller kopieret af en angriber. Dog anbefaler vi altid en gennemgang af logfiler for at udelukke, at der har været uautoriseret aktivitet.
Kan vi bare vente med opdateringen til næste planlagte vedligeholdelsesvindue?
Det fraråder vi kraftigt. En CVSS 9.1-sårbarhed uden krav om adgangskode eller brugerinteraktion er blandt de mest udnyttelsesvenlige typer. Jo længere tid der går, jo større er risikoen for, at angribere aktivt scanner efter og udnytter sårbare servere. Hvis opdatering absolut ikke kan ske med det samme, bør du som minimum begrænse ekstern netværksadgang til serveren.
Hvad er identitetsspoofing?
Identitetsspoofing (engelsk: identity spoofing) betyder, at en angriber kan narre et system til at tro, at vedkommende er en anden — for eksempel en administrator eller en kollega. Forestil dig det som at sende et brev med en andens navn og adresse: systemet ser kun afsenderens oplysninger og stoler på dem, uden at verificere om de er ægte.
Gælder dette også cloud-hostede WebSphere-installationer?
Ja, hvis din WebSphere-installation kører i skyen (fx IBM Cloud eller en anden udbyder), men stadig anvender en af de berørte versioner, er den potentielt sårbar. Kontakt din cloud-leverandør og bekræft, at de enten allerede har opdateret eller har en plan for det.
Hvad koster det ikke at handle?
Konsekvenserne kan inkludere manipulation eller tab af forretningskritiske data, driftsafbrydelser, og i værste fald et fuldstændigt kompromitteret system. Udover de direkte omkostninger kan der være juridiske forpligtelser under GDPR, hvis persondata er berørt — herunder krav om anmeldelse til Datatilsynet inden for 72 timer.
Ramte produkter
Ibm — Websphere Application Server
≥ 8.5.0.0, < 8.5.5.30
Ibm — Websphere Application Server
≥ 9.0.0.0, < 9.0.5.29
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
IBM WebSphere Application Server 9.0, and 8.5 is vulnerable to identity spoofing.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
