CVE-2026-46944: Kritisk sårbarhed i Oracle iSupport
Kritisk sårbarhed i Oracle iSupport giver angribere med admin-adgang fuld kontrol over systemet via netværket.
Hvad er det?
CVE-2026-46944 er en kritisk sårbarhed i Oracle iSupport, som er en del af Oracle E-Business Suite — et udbredt system til bl.a. kundeservice og interne forretningsprocesser. Sårbarheden findes i komponenten ‘Internal Operations’ og giver en angriber, der allerede har administrative rettigheder (dvs. en privilegeret brugerkonto), mulighed for at overtage hele iSupport-installationen via det normale netværk (HTTP). Det kræver ikke brugerinteraktion, og angrebet er nemt at udføre. Særligt alvorligt er det, at angrebet kan brede sig til andre systemer og produkter, der er koblet til Oracle E-Business Suite — det man kalder et ‘scope change’.
Hvem rammer det?
Sårbarheden rammer virksomheder, der bruger Oracle iSupport i version 12.2.3 op til og med 12.2.14. Typisk drejer det sig om mellemstore og større virksomheder, der anvender Oracle E-Business Suite til ERP (virksomhedsstyring), CRM (kundestyring) eller supportprocesser. Har du Oracle E-Business Suite installeret og eksponeret mod internettet eller interne netværk, bør du tjekke din version med det samme.
Hvad kan ske?
Et vellykket angreb kan give angriberen fuld kontrol over Oracle iSupport — også kaldet ‘takeover’. Det betyder, at angriberen kan:
- Læse og stjæle fortrolige data (fx kundeoplysninger, interne sager, forretningskritisk information)
- Ændre eller slette data i systemet
- Lægge systemet ned og forstyrre din virksomheds drift
- Bevæge sig videre til andre systemer, der er tilknyttet Oracle E-Business Suite
Konsekvenserne kan altså ramme både fortrolighed, dataintegritet og tilgængelighed på tværs af din it-infrastruktur.
Hvor alvorligt er det?
Sårbarheden er vurderet til CVSS-score 9.1 ud af 10, hvilket klassificeres som kritisk. Angrebet kan udføres over netværket uden nogen form for brugerinteraktion, og kompleksiteten er lav — det er med andre ord ikke svært for en angriber at udnytte den. Det eneste krav er, at angriberen allerede har en højtprivilegeret konto (fx en admin-bruger). Den høje score afspejler også, at angrebet kan brede sig til andre tilknyttede systemer ud over iSupport selv.
Hvad gør jeg nu?
Du bør handle hurtigt. Følg disse trin:
- Tjek din version: Find ud af hvilken version af Oracle iSupport / E-Business Suite din virksomhed kører. Versioner fra 12.2.3 til og med 12.2.14 er sårbare.
- Begræns adgang: Sørg for, at adgang til Oracle iSupport er begrænset til kendte og nødvendige brugere — især administrative konti. Deaktiver konti der ikke bruges aktivt.
- Anvend Oracles patch: Oracle har udgivet en rettelse som en del af deres Critical Patch Update (CPU). Opdater til version 12.2.15 eller nyere hurtigst muligt.
- Overvåg logfiler: Gennemgå adgangslogfiler for usædvanlig aktivitet fra privilegerede konti — særligt hvis du ikke har kunnet patche endnu.
- Kontakt din it-leverandør: Har du ikke selv ressourcer til at håndtere opdateringen, så kontakt din Oracle-leverandør eller en it-sikkerhedskonsulent med det samme.
Patch nu — kritisk alvorlighed
Vi anbefaler, at du opdaterer Oracle iSupport til version 12.2.15 hurtigst muligt. Da angrebet kræver en privilegeret konto, er det også vigtigt, at du gennemgår hvilke brugere der har administrative rettigheder i systemet, og fjerner adgang der ikke er strengt nødvendig. Selvom der endnu ikke er rapporteret aktive angreb, er CVSS-scoren så høj, at det ikke kan vente til næste planlagte vedligeholdelsesvinduer.
Tidslinje
Konkrete eksempler
Kompromitteret admin-konto bruges til systemovertagelse
En angriber får fat i legitimationsoplysningerne til en Oracle iSupport-administratorkonto — fx via phishing eller genbrug af adgangskoder fra et andet databrud. Med disse oplysninger logger angriberen ind via HTTP og udnytter sårbarheden til at overtage hele iSupport-installationen. Derfra kan angriberen tilgå og eksportere alle kundedata og interne supporthenvendelser, uden at det opdages med det samme.
Insider-trussel eskalerer rettigheder til andre systemer
En utilfreds medarbejder med administratoradgang til Oracle iSupport udnytter sårbarheden til at bevæge sig videre til andre moduler i Oracle E-Business Suite — fx økonomi- eller HR-moduler — som vedkommende normalt ikke har adgang til. På grund af ‘scope change’-effekten kan angrebet brede sig langt ud over iSupport og give adgang til kritiske forretningsdata på tværs af systemet.
Angriber lægger systemet ned og kræver løsesum
En ekstern angriber udnytter en eksponeret Oracle iSupport-installation og bruger sårbarheden til at installere ransomware (software der krypterer data og kræver løsesum). Virksomhedens Oracle E-Business Suite-miljø låses ned, og driften stopper fuldstændigt. Angriberen kræver betaling for at gendanne adgangen — og truer med at offentliggøre de stjålne data, hvis kravet ikke efterkommes.
Ofte stillede spørgsmål
Skal angriberen have adgang til vores netværk i forvejen?
Angriberen skal kunne nå Oracle iSupport via HTTP — det kan være via internettet, hvis systemet er offentligt tilgængeligt, eller via jeres interne netværk. Derudover kræver angrebet en højtprivilegeret brugerkonto (fx en admin-bruger). Angriberen behøver altså ikke fysisk adgang, men skal have en gyldig admin-login.
Vi bruger Oracle E-Business Suite, men ikke iSupport aktivt — er vi stadig i fare?
Potentielt ja. Hvis Oracle iSupport er installeret som en del af jeres E-Business Suite-opsætning, kan sårbarheden stadig udnyttes, selv hvis I ikke bruger modulet aktivt i det daglige. I bør kontrollere om komponenten er installeret og om nødvendigt deaktivere adgangen til den, indtil I har patchet.
Hvad betyder 'scope change' i praksis for os?
‘Scope change’ betyder, at et vellykket angreb ikke nødvendigvis stopper ved Oracle iSupport. Angriberen kan potentielt bevæge sig videre til andre systemer og moduler, der er koblet til jeres Oracle E-Business Suite. Det gør sårbarheden ekstra farlig, fordi konsekvenserne kan brede sig til hele jeres it-miljø.
Hvordan ved jeg, hvilken version af Oracle iSupport vi kører?
Du kan typisk finde versionsoplysninger i Oracle E-Business Suites administrator-panel under ‘About this Page’ eller ved at kontakte jeres Oracle-leverandør eller interne it-afdeling. Oracle tilbyder også værktøjet ‘Oracle Patch Advisor’, som kan hjælpe med at identificere installerede versioner og manglende patches.
Er der tegn på, at sårbarheden allerede bliver udnyttet?
På nuværende tidspunkt er der ikke offentlige rapporter om, at sårbarheden aktivt udnyttes af angribere. Det bør dog ikke give anledning til at vente med at patche — kritiske sårbarheder tiltrækker hurtigt opmærksomhed fra ondsindede aktører, når de offentliggøres.
Hvad koster det ikke at handle?
Et vellykket angreb kan medføre datatab, driftsstop, brud på GDPR-regler (med mulige bøder) og tab af kundernes tillid. For en SMV kan konsekvenserne af et alvorligt sikkerhedsbrud være svære at komme sig over — både økonomisk og omdømmemæssigt. Prisen for en opdatering er langt lavere end prisen for et databrud.
Ramte produkter
Oracle — Isupport
≥ 12.2.3, < 12.2.15
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Vulnerability in the Oracle iSupport product of Oracle E-Business Suite (component: Internal Operations). Supported versions that are affected are 12.2.3-12.2.15. Easily exploitable vulnerability allows high privileged attacker with network access via HTTP to compromise Oracle iSupport. While the vulnerability is in Oracle iSupport, attacks may significantly impact additional products (scope change). Successful attacks of this vulnerability can result in takeover of Oracle iSupport. CVSS 3.1 Base Score 9.1 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H).
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
