CVE-2026-35308: Kritisk sårbarhed i Oracle Coherence
Kritisk sårbarhed i Oracle Coherence giver angribere fuld kontrol via internettet uden login – opdater straks.
Hvad er det?
CVE-2026-35308 er en kritisk sårbarhed i Oracle Coherence, som er en del af Oracle Fusion Middleware (mellemlagsoftware der forbinder systemer og applikationer). Fejlen ligger i tredjepartsbiblioteker (eksterne kodekomponenter) der er bundtet med produktet. En angriber kan udnytte sårbarheden via almindelig HTTP-trafik over internettet – uden at have et brugernavn, adgangskode eller anden form for adgang i forvejen. Angrebet er teknisk set enkelt at udføre, og det kan ramme ikke kun Oracle Coherence selv, men også andre systemer der er forbundet til det.
Hvem rammer det?
Sårbarheden rammer virksomheder og organisationer der kører Oracle Coherence i én af følgende versioner:
- Version 12.2.1.4.0
- Version 14.1.1.0.0
- Version 14.1.2.0.0
- Version 15.1.1.0.0
Oracle Coherence bruges typisk i større it-miljøer til at håndtere delte data på tværs af mange servere (såkaldt distribueret datacaching). Hvis din virksomhed bruger Oracle Fusion Middleware eller Oracle-baserede applikationer, bør du tjekke om Oracle Coherence er en del af din infrastruktur.
Hvad kan ske?
En vellykket udnyttelse af denne sårbarhed kan give en angriber fuld kontrol over Oracle Coherence-serveren. Det betyder i praksis:
- Fortrolighed (C): Angriberen kan læse alle data der behandles eller opbevares i systemet – herunder følsomme forretningsdata og personoplysninger.
- Integritet (I): Angriberen kan ændre eller slette data, hvilket kan føre til fejlagtige forretningsbeslutninger eller tab af vigtige oplysninger.
- Tilgængelighed (A): Systemet kan sættes ud af drift, så medarbejdere og kunder mister adgangen.
- Spredning (Scope Change): Angrebet kan brede sig til andre systemer der er forbundet med Oracle Coherence, og dermed true hele din it-infrastruktur.
Hvor alvorligt er det?
Denne sårbarhed har fået den højest mulige CVSS-score: 10.0 ud af 10, som betegnes som Kritisk. Det skyldes en særlig farlig kombination af faktorer:
- Angrebet kan udføres over internettet (netværksbaseret)
- Det kræver ingen teknisk ekspertise eller særlige forudsætninger (lav kompleksitet)
- Ingen brugernavn eller adgangskode er nødvendig (ingen krævet adgang)
- Brugeren behøver ikke klikke på noget (ingen brugerinteraktion)
- Angrebet kan sprede sig til andre systemer (scope change)
En score på 10.0 er ekstremt sjælden og signalerer, at risikoen er maksimal. Du bør behandle dette med absolut højeste prioritet.
Hvad gør jeg nu?
Følg disse trin så hurtigt som muligt – helst inden for 24-48 timer:
- Tjek din software: Find ud af om din virksomhed bruger Oracle Coherence, og hvilken version der er installeret. Spørg din it-leverandør eller it-ansvarlige hvis du er i tvivl.
- Installer Oracles sikkerhedsopdatering: Oracle har udsendt en patch (sikkerhedsrettelse) som en del af deres Critical Patch Update. Download og installér den hurtigst muligt.
- Begræns netværksadgang midlertidigt: Hvis du ikke kan opdatere med det samme, så overvej at blokere HTTP-adgang til Oracle Coherence fra internettet via din firewall (netværkssikkerhedsmur) som en midlertidig foranstaltning.
- Kontakt din it-leverandør: Hvis Oracle Coherence er en del af en større løsning leveret af en ekstern partner, skal du straks kontakte dem og bede om en opdateringsplan.
- Overvåg dine systemer: Tjek om der har været usædvanlig aktivitet i dine logs (systemregistreringer) der kan tyde på, at nogen allerede har forsøgt at udnytte sårbarheden.
- Informér ledelsen: Sørg for at beslutningstagerene i virksomheden er orienteret om risikoen, så der kan frigives de nødvendige ressourcer til at håndtere problemet.
Opdater inden for 24-48 timer
Med en maksimal CVSS-score på 10.0 og mulighed for fuldstændig systemovertagelse uden nogen form for forudgående adgang anbefaler Auroa, at du behandler denne sårbarhed som en akut sikkerhedshændelse. Installer Oracles patch øjeblikkeligt, og blokér i mellemtiden ekstern adgang til Oracle Coherence via din firewall. Kontakt din it-leverandør i dag, og lad ikke opdateringen vente til næste planlagte vedligeholdelsesvindue – risikoen er for høj.
Tidslinje
Konkrete eksempler
Automatiseret scanning og overtagelse
En kriminel bruger et automatiseret scanningsværktøj til at lede efter Oracle Coherence-installationer der er tilgængelige på internettet. Når et sårbart system identificeres, sendes en specialudformet HTTP-forespørgsel der udløser fejlen i tredjepartsbiblioteket. Angriberen opnår fuld kontrol over serveren på få sekunder – helt uden brugernavn eller adgangskode – og kan derefter installere ransomware eller stjæle data.
Angreb der spreder sig til interne systemer
En angriber kompromitterer en Oracle Coherence-server der er eksponeret mod internettet. Da Oracle Coherence typisk er forbundet med andre interne systemer og applikationer, bruger angriberen den kompromitterede server som et springbræt (pivoting) til at bevæge sig ind i resten af virksomhedens netværk. Herfra kan angriberen tilgå økonomidata, kundeoplysninger og andre kritiske systemer som normalt er beskyttet bag firewallen.
Sabotage af forretningskritiske data
En konkurrent eller statssponsoreret aktør udnytter sårbarheden til at få adgang til Oracle Coherence-serverens datacache, der indeholder realtidsdata fra virksomhedens forretningssystemer. Angriberen ændrer eller sletter kritiske data – f.eks. ordrer, lagerstatus eller finansielle poster – hvilket fører til driftsforstyrrelser, fejlagtige beslutninger og potentielt betydelige økonomiske tab, inden fejlen opdages.
Ofte stillede spørgsmål
Bruger vi Oracle Coherence – og ved vi det?
Oracle Coherence er ikke altid et produkt man bevidst har valgt. Det følger ofte med som en del af større Oracle-løsninger, f.eks. Oracle WebLogic Server eller andre Oracle Fusion Middleware-produkter. Bed din it-ansvarlige eller it-leverandør om at tjekke, om Oracle Coherence er installeret i jeres miljø – det kan gøres ved at søge i jeres softwareoversigt eller serverinstallationer.
Skal vi lukke systemet ned, mens vi venter på opdateringen?
Det er ikke nødvendigvis nødvendigt at lukke helt ned, men du bør som minimum begrænse adgangen til Oracle Coherence via din firewall, så systemet ikke er tilgængeligt fra internettet i ventetiden. Tal med din it-leverandør om den bedste midlertidige løsning for netop jeres opsætning.
Hvordan ved jeg, om vi allerede er blevet angrebet?
Se efter usædvanlig aktivitet i jeres systemlogs – f.eks. uventede forbindelsesforsøg til Oracle Coherence udefra, mistænkelige brugere eller processer, eller pludselige ændringer i data. Hvis du ikke selv har kompetencerne til at vurdere dette, kan Auroa eller din it-leverandør hjælpe med en gennemgang af systemerne.
Kan vi nøjes med at lave en workaround i stedet for at opdatere?
En midlertidig workaround – f.eks. at blokere ekstern netværksadgang til Oracle Coherence – kan reducere risikoen kortvarigt, men det løser ikke den grundlæggende fejl. Oracle har udsendt en egentlig patch, og den er den eneste permanente løsning. Workarounds bør kun bruges som en bro, mens opdateringen forberedes og installeres.
Hvad betyder 'scope change', og hvorfor er det ekstra farligt?
‘Scope change’ betyder, at et vellykket angreb ikke stopper ved Oracle Coherence-serveren selv – det kan sprede sig til andre systemer og applikationer i jeres netværk. Det er derfor særligt vigtigt at reagere hurtigt, da konsekvenserne kan vokse betydeligt hvis angrebet ikke begrænses i tide.
Er denne type sårbarhed kun relevant for store virksomheder?
Nej. Selvom Oracle Coherence typisk ses i større it-miljøer, kan SMV’er sagtens have produktet installeret som del af en ekstern løsning eller et branchespecifikt system. Angribere skelner ikke mellem store og små virksomheder – de scanner automatisk internettet for sårbare systemer, uanset virksomhedsstørrelse.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Vulnerability in the Oracle Coherence product of Oracle Fusion Middleware (component: Centralized Third Party Jars). Supported versions that are affected are 12.2.1.4.0, 14.1.1.0.0, 14.1.2.0.0 and 15.1.1.0.0. Easily exploitable vulnerability allows unauthenticated attacker with network access via HTTP to compromise Oracle Coherence. While the vulnerability is in Oracle Coherence, attacks may significantly impact additional products (scope change). Successful attacks of this vulnerability can result in takeover of Oracle Coherence. CVSS 3.1 Base Score 10.0 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H).
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
