CVE-2026-35312: Kritisk fejl i Oracle Virtual Directory
Kritisk fejl i Oracle Virtual Directory lader angribere overtage systemet uden login via netværket.
Hvad er det?
Oracle Virtual Directory er et stykke software fra Oracle, der bruges til at samle og administrere brugeroplysninger fra flere forskellige kataloger (fx Active Directory) ét centralt sted. Det kommunikerer via en protokol kaldet LDAP (Lightweight Directory Access Protocol), som bruges til at slå brugere og adgangskoder op i et netværk.
Denne sårbarhed betyder, at en angriber uden nogen form for login eller særlige rettigheder kan sende ondsindede LDAP-forespørgsler direkte til systemet over netværket og dermed overtage hele Oracle Virtual Directory-installationen.
Hvem rammer det?
Sårbarheden rammer virksomheder og organisationer, der bruger Oracle Virtual Directory i version 12.2.1.4.0 eller 14.1.2.0.0 som del af Oracle Fusion Middleware. Det er typisk større it-infrastrukturer, der administrerer mange brugere centralt — for eksempel virksomheder med mange medarbejdere, der logger ind på fælles systemer, eller organisationer med komplekse it-miljøer.
Har du Oracle Fusion Middleware installeret i din virksomhed, bør du straks undersøge, om Oracle Virtual Directory er en del af din installation.
Hvad kan ske?
Hvis en angriber udnytter denne sårbarhed, kan konsekvenserne være alvorlige:
- Fuld overtagelse af Oracle Virtual Directory-serveren — angriberen får administratoradgang.
- Adgang til fortrolige brugerdata, herunder brugernavne, adgangskoder og organisationsoplysninger.
- Manipulation af brugerdata — angriberen kan ændre, slette eller indsætte falske oplysninger i kataloget.
- Nedbrud af systemet — tjenesten kan gøres utilgængelig, så medarbejdere ikke kan logge ind på virksomhedens systemer.
- Springbræt til videre angreb — adgang til brugerkataloget kan bruges til at kompromittere andre systemer i virksomheden.
Hvor alvorligt er det?
Denne sårbarhed er vurderet til 9,8 ud af 10 på CVSS-skalaen, hvilket er en kritisk score. Det skyldes en kombination af meget uheldige faktorer:
- Angrebet kræver ingen forudgående adgang eller login.
- Det kan udføres direkte over netværket uden fysisk tilstedeværelse.
- Det er let at udføre — der kræves ingen avancerede tekniske færdigheder.
- Det kræver ingen handling fra brugere i din virksomhed.
- Konsekvenserne rammer alle tre sikkerhedsparametre: fortrolighed, integritet og tilgængelighed.
Kort sagt: En angriber med netværksadgang kan uden besvær overtage systemet fuldstændigt.
Hvad gør jeg nu?
Følg disse trin så hurtigt som muligt:
- Undersøg din installation: Kontakt din it-ansvarlige eller leverandør og find ud af, om Oracle Virtual Directory (version 12.2.1.4.0 eller 14.1.2.0.0) er installeret i din virksomhed.
- Isolér systemet midlertidigt: Hvis du bruger Oracle Virtual Directory og ikke kan patche med det samme, så begræns adgangen til LDAP-porten (typisk port 389 eller 636) via en firewall, så kun nødvendige systemer kan kommunikere med serveren.
- Installer Oracles sikkerhedsopdatering: Oracle udgiver sikkerhedsopdateringer via deres Critical Patch Update (CPU)-program. Installer den relevante opdatering til Oracle Virtual Directory hurtigst muligt.
- Overvåg dine logfiler: Tjek om der har været usædvanlig LDAP-aktivitet på serveren, som kan indikere, at nogen allerede har forsøgt at udnytte sårbarheden.
- Orienter din it-leverandør: Har du en ekstern it-partner, skal de informeres og involveres i håndteringen straks.
Patch straks — kritisk sårbarhed
På grund af den ekstremt høje alvorlighed og det lave krav til angriberens færdigheder anbefaler vi, at du behandler dette som en akut sikkerhedshændelse. Installer Oracles officielle patch øjeblikkeligt, og begræns i mellemtiden netværksadgangen til LDAP-tjenesten via din firewall. Har du ikke selv ressourcerne til at håndtere dette, så kontakt en it-sikkerhedskonsulent i dag.
Tidslinje
Konkrete eksempler
Direkte netværksangreb mod LDAP-port
En angriber scanner internettet for servere, der har Oracle Virtual Directory’s LDAP-port (port 389) åben. Når de finder en sårbar server, sender de en særligt udformet LDAP-forespørgsel, der udnytter fejlen og giver dem fuld administratoradgang — alt dette uden at kende et eneste brugernavn eller adgangskode fra virksomheden.
Intern trussel via kompromitteret enhed
En medarbejders bærbare computer inficeres med malware via en phishing-mail. Malwaren opdager Oracle Virtual Directory på det interne netværk og udnytter CVE-2026-35312 til at overtage brugerkataloget. Angriberen kan nu oprette falske administratorkonti og tilgå virksomhedens øvrige systemer uopdaget.
Datatyveri af brugeroplysninger
En angriber udnytter sårbarheden til at kopiere hele brugerkataloget fra Oracle Virtual Directory — herunder brugernavne, e-mailadresser og i værste fald hashede adgangskoder. Disse oplysninger kan efterfølgende bruges til at forsøge at bryde ind på andre systemer eller sælges på det mørke net.
Ofte stillede spørgsmål
Hvad er Oracle Virtual Directory, og bruger vi det?
Oracle Virtual Directory er et stykke serversoftware, der typisk bruges til at samle brugeroplysninger fra flere systemer ét sted. Det er en del af Oracle Fusion Middleware. Spørg din it-ansvarlige eller it-leverandør om I har det installeret — det er ikke altid synligt for ikke-tekniske brugere, men er en vigtig del af infrastrukturen i mange virksomheder.
Kan en angriber udnytte dette uden at kende vores adgangskoder?
Ja. Det er netop det, der gør denne sårbarhed så farlig. En angriber behøver hverken brugernavn, adgangskode eller andre forudgående oplysninger om jeres systemer. Det eneste, der kræves, er netværksadgang til den server, der kører Oracle Virtual Directory.
Er vi i fare, hvis serveren kun er tilgængelig internt?
Risikoen er mindre, hvis serveren ikke er eksponeret mod internettet, men I er stadig sårbare over for angreb indefra netværket — for eksempel fra en kompromitteret medarbejdercomputer, en leverandør med adgang eller et andet inficeret system. Intern eksponering er ikke ensbetydende med sikkerhed.
Hvad gør vi, mens vi venter på at patches kan installeres?
Som midlertidig foranstaltning bør du begrænse adgangen til LDAP-porten (typisk TCP port 389 og 636) via din firewall, så kun de servere og systemer, der har et reelt behov, kan kommunikere med Oracle Virtual Directory. Dette reducerer angrebsfladen betydeligt, men er ikke en permanent løsning.
Hvordan finder vi Oracles patch til dette problem?
Oracle udgiver sikkerhedsopdateringer via deres officielle Critical Patch Update-program (CPU). Besøg Oracles supportportal på support.oracle.com og søg efter den seneste CPU, der dækker Oracle Fusion Middleware og Oracle Virtual Directory. Din it-leverandør kan hjælpe med at identificere og installere den korrekte opdatering.
Kan vi se om vi allerede er blevet angrebet?
Tjek logfilerne på din Oracle Virtual Directory-server for usædvanlige LDAP-forespørgsler, særligt fra ukendte IP-adresser eller på usædvanlige tidspunkter. Ser du uforklarlige ændringer i brugerdata eller uventede nedbrud, bør du straks kontakte en it-sikkerhedsekspert for at undersøge, om et angreb allerede har fundet sted.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Vulnerability in the Oracle Virtual Directory product of Oracle Fusion Middleware (component: Virtual Directory Server). Supported versions that are affected are 12.2.1.4.0 and 14.1.2.0.0. Easily exploitable vulnerability allows unauthenticated attacker with network access via LDAP to compromise Oracle Virtual Directory. Successful attacks of this vulnerability can result in takeover of Oracle Virtual Directory. CVSS 3.1 Base Score 9.8 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
