CVE-2026-46933: Kritisk Oracle E-Business Suite sårbarhed
Kritisk sårbarhed i Oracle E-Business Suite giver angribere fuld kontrol over dit system via internettet.
Hvad er det?
CVE-2026-46933 er en kritisk sårbarhed i Oracle Applications Manager, som er en del af Oracle E-Business Suite – et udbredt ERP-system (forretningssystem til økonomi, indkøb, HR m.m.). Sårbarheden gør det muligt for en angriber med blot en almindelig brugerkonto at overtage hele systemet via internettet. Det kræver ingen avancerede tekniske færdigheder og ingen hjælp fra andre brugere. Berørte versioner er 12.2.3 til og med 12.2.15.
Hvem rammer det?
Sårbarheden rammer virksomheder og organisationer, der bruger Oracle E-Business Suite version 12.2.3–12.2.15. Det er typisk mellemstore og større virksomheder, der anvender Oracle som deres centrale forretningssystem til bl.a. økonomi, indkøb, løn og logistik. Hvis jeres Oracle-system er tilgængeligt via internettet – eller fra et netværk hvor medarbejdere logger ind – er I i risikogruppen.
Hvad kan ske?
En angriber med adgang til en helt almindelig brugerkonto (f.eks. en stjålet medarbejder-login) kan udnytte sårbarheden til at overtage hele Oracle Applications Manager-installationen. Det betyder i praksis:
- Fuld adgang til fortrolige data – kundeinformation, finansielle data, løn og kontrakter.
- Ændring eller sletning af data – regnskaber, ordrer og systemkonfigurationer kan manipuleres.
- Nedbrud af systemet – hele ERP-systemet kan lammes, hvilket stopper forretningsdriften.
- Spredning til andre systemer – angrebet kan brede sig til andre it-systemer i virksomheden (scope change).
Hvor alvorligt er det?
Med en CVSS-score på 9.9 ud af 10 (Kritisk) er dette en af de alvorligste typer sårbarheder. Alle tre kerneområder inden for it-sikkerhed er maksimalt påvirket: fortrolighed, integritet og tilgængelighed. Angrebet kræver lav teknisk indsats, ingen særlige rettigheder ud over en normal brugerkonto, og kan udføres helt uden interaktion fra ofrets side. Derudover kan skaden sprede sig ud over selve Oracle-systemet til andre dele af virksomhedens it-infrastruktur.
Hvad gør jeg nu?
Handles der hurtigt, kan risikoen reduceres betydeligt. Gør følgende med det samme:
- Identificér jeres version: Tjek hvilken version af Oracle E-Business Suite I kører. Er den mellem 12.2.3 og 12.2.15, er I berørt.
- Installer Oracles sikkerhedsopdatering: Oracle udgiver Critical Patch Updates (CPU) kvartalsvis. Sørg for at installere den relevante patch så hurtigt som muligt.
- Begræns netværksadgang: Hvis muligt, begræns adgangen til Oracle Applications Manager, så den ikke er tilgængelig direkte fra internettet – brug f.eks. VPN.
- Gennemgå brugerkonti: Deaktivér unødvendige eller inaktive brugerkonti. En stjålet konto er angribernes indgangsvinkel.
- Overvåg systemlogfiler: Hold øje med usædvanlig aktivitet i systemet, særligt login fra uventede lokationer eller tidspunkter.
- Kontakt jeres it-leverandør eller Auroa: Har I ikke ressourcer til at håndtere dette selv, bør I straks kontakte en it-sikkerhedsekspert.
Patch inden for 24-72 timer
Oracles Critical Patch Update indeholder en rettelse til denne sårbarhed, og vi anbefaler kraftigt, at I installerer opdateringen hurtigst muligt – helst inden for de næste 24-72 timer. I mellemtiden bør adgangen til Oracle E-Business Suite begrænses til nødvendige brugere og helst via VPN. Med en CVSS-score på 9.9 og mulighed for fuld systemovertagelse er dette ikke en sårbarhed, der kan vente til næste planlagte vedligeholdelsesvindue. Kontakt os i Auroa, hvis I har brug for hjælp til at vurdere jeres eksponering eller gennemføre opdateringen.
Tidslinje
Konkrete eksempler
Phishet medarbejderkonto brugt til systemovertagelse
En angriber sender en phishing-mail til en regnskabsmedarbejder i virksomheden og narrer dem til at afgive deres Oracle-login. Med denne almindelige brugerkonto logger angriberen ind i Oracle E-Business Suite via virksomhedens login-side og udnytter CVE-2026-46933 til at eskalere sine rettigheder til systemadministrator-niveau. Derfra eksporterer angriberen alle finansielle data og kundeoplysninger, og planter ransomware (afpresningssoftware) der krypterer systemet natten over.
Intern trussel fra misfornøjet medarbejder
En medarbejder der er ved at fratræde sin stilling har stadig en aktiv Oracle-brugerkonto. Medarbejderen udnytter CVE-2026-46933 til at få administratoradgang og sletter kritiske ordredata og ændrer bankkontonumre på leverandørers betalingsprofiler. Fordi angrebet sker med en legitim brugerkonto, opdager virksomheden ikke skaden før faktureringsprocessen kollapser dage senere.
Automatiseret angreb fra botnets
Cyberkriminelle programmerer automatiserede bots (programmer der scanner internettet) til at identificere virksomheder med eksponerede Oracle E-Business Suite-installationer. Når en sårbar installation findes, forsøger botten at logge ind med kendte standardpasswords eller tidligere lækkede brugernavne og passwords. Lykkes det, udnyttes CVE-2026-46933 automatisk til at overtage systemet, som herefter sælges som adgang på det mørke internet eller bruges til yderligere angreb mod virksomhedens netværk.
Ofte stillede spørgsmål
Bruger vi Oracle E-Business Suite, men vi ved ikke hvilken version – hvad gør vi?
Log ind på systemet og find versionsnummeret under ‘Help’ > ‘About Oracle Applications’. Alternativt kan jeres it-leverandør eller Oracle-konsulent hjælpe jer med at identificere versionen. Er I i tvivl, behandl systemet som berørt, indtil det er afklaret.
Kan en angriber udnytte sårbarheden uden at kende vores passwords?
Angriberen skal have adgang til én brugerkonto – men det behøver ikke at være en administratorkonto. Det kan være en simpel medarbejderkonto opnået via phishing eller datalæk. Derfor er det vigtigt at gennemgå og rydde op i brugerkonti som en del af den umiddelbare reaktion.
Hvad er et 'scope change', og hvorfor er det farligt?
Scope change betyder, at angrebet ikke stopper ved det sårbare system – det kan brede sig til andre systemer i virksomheden. Forestil dig, at en angriber bryder ind i Oracle og derfra får adgang til jeres filserver, e-mail eller andre forretningskritiske systemer. Det gør skadeomfanget langt større end blot ERP-systemet.
Gælder sårbarheden også, hvis vores Oracle-system kun er tilgængeligt internt i virksomheden?
Risikoen er lavere, men ikke elimineret. Hvis en angriber allerede har fået adgang til jeres interne netværk – f.eks. via en kompromitteret medarbejder-PC – kan de stadig udnytte sårbarheden. Netværksisolering reducerer risikoen, men erstattet ikke en patch.
Hvordan ved vi, om vi allerede er blevet angrebet?
Se efter usædvanlige logins i Oracle-systemets logfiler, f.eks. logins på mærkelige tidspunkter, fra ukendte IP-adresser eller med konti der ikke burde være aktive. Kontakt en it-sikkerhedsekspert, hvis I opdager mistænkelig aktivitet – de kan hjælpe med en forensisk gennemgang.
Hvad koster det at installere patchen?
Selve patchen fra Oracle er gratis for kunder med aktiv support. Omkostningerne opstår typisk ved den tid, jeres it-folk eller Oracle-konsulent bruger på at teste og installere opdateringen. Det er dog en langt mindre udgift end konsekvenserne af et vellykket angreb.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Vulnerability in the Oracle Applications Manager product of Oracle E-Business Suite (component: Internal Operations). Supported versions that are affected are 12.2.3-12.2.15. Easily exploitable vulnerability allows low privileged attacker with network access via HTTP to compromise Oracle Applications Manager. While the vulnerability is in Oracle Applications Manager, attacks may significantly impact additional products (scope change). Successful attacks of this vulnerability can result in takeover of Oracle Applications Manager. CVSS 3.1 Base Score 9.9 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H).
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
