CVE-2026-46946: Kritisk sårbarhed i Oracle iSupport
Kritisk sårbarhed i Oracle iSupport giver angribere med adminadgang mulighed for at overtage hele systemet via internettet.
Hvad er det?
CVE-2026-46946 er en kritisk sårbarhed i Oracle iSupport, som er en del af Oracle E-Business Suite — et udbredt forretningssystem til bl.a. kundeservice og intern drift. Sårbarheden ligger i komponenten ‘Internal Operations’ og gør det muligt for en angriber, der allerede har høje rettigheder (f.eks. en administratorkonto), at overtage hele iSupport-installationen via et almindeligt HTTP-kald over internettet. Det kræver ingen interaktion fra andre brugere, og angrebet er let at udføre. Særligt alvorligt er det, at angrebet kan sprede sig og ramme andre systemer end iSupport alene — det man kalder et ‘scope change’.
Hvem rammer det?
Sårbarheden rammer virksomheder, der anvender Oracle iSupport i versioner 12.2.3 op til og med 12.2.14, altså alle versioner under 12.2.15. Oracle E-Business Suite bruges typisk af mellemstore og større virksomheder med behov for integrerede forretningsprocesser som økonomi, indkøb og kundeservice. Har du Oracle E-Business Suite installeret, bør du undersøge, om iSupport-modulet er aktivt og hvilken version du kører.
Hvad kan ske?
En angriber, der udnytter denne sårbarhed, kan opnå fuld kontrol over Oracle iSupport-systemet. Det betyder i praksis:
- Datatyveri: Angriberen kan tilgå fortrolige kundedata, interne sagsdokumenter og driftsoplysninger.
- Manipulation: Data kan ændres eller slettes, hvilket kan påvirke forretningskritiske processer.
- Nedbrud: Systemet kan gøres utilgængeligt, så medarbejdere og kunder ikke kan bruge det.
- Spredning: Angrebet kan bevæge sig videre til andre systemer i Oracle E-Business Suite-miljøet.
Hvor alvorligt er det?
Sårbarheden er vurderet til en CVSS-score på 9.1 ud af 10, hvilket placerer den i kategorien Kritisk. Selvom en angriber skal have høje rettigheder for at udnytte den — f.eks. en kompromitteret administratorkonto — kræver selve angrebet ingen teknisk kompleksitet og ingen hjælp fra andre brugere. Kombinationen af let udnyttelse, fuld systemovertagelse og mulighed for spredning til andre systemer gør dette til en sårbarhed, der kræver øjeblikkelig handling.
Hvad gør jeg nu?
Følg disse trin for at beskytte din virksomhed:
- Find ud af om du er ramt: Kontakt din IT-leverandør eller systemansvarlige og bed dem bekræfte, hvilken version af Oracle iSupport I kører. Er I på version 12.2.3 til 12.2.14, er I sårbare.
- Opdater til version 12.2.15 eller nyere: Oracle har udgivet en patch, der lukker sårbarheden. Din IT-leverandør skal installere denne opdatering hurtigst muligt.
- Begræns adgang til systemet: Indtil opdateringen er installeret, bør adgangen til Oracle iSupport begrænses — særligt administrative konti. Overvej at spærre ekstern adgang midlertidigt via en firewall.
- Gennemgå administratorkonti: Tjek om der er oprettet ukendte eller mistænkelige administratorbrugere i systemet. En angriber kan allerede have skaffet sig adgang.
- Overvåg systemlogs: Bed din IT-leverandør gennemgå logfiler for usædvanlig aktivitet, særligt i perioden op til opdateringen.
Opdater inden for 72 timer
Vi anbefaler, at du kontakter din Oracle-leverandør eller interne IT-ansvarlige i dag og sætter opdatering til version 12.2.15 øverst på prioriteringslisten. Begræns i mellemtiden adgangen til Oracle iSupport fra eksterne netværk, og sørg for at gennemgå alle administratorkonti for tegn på uautoriseret adgang. Denne sårbarhed er alvorlig nok til, at den ikke bør vente til næste planlagte vedligeholdelsesvindue.
Tidslinje
Konkrete eksempler
Kompromitteret administratorkonto bruges som springbræt
En medarbejder med administratoradgang til Oracle iSupport falder for en phishing-mail og afslører sine loginoplysninger. Angriberen logger ind med de stjålne oplysninger og udnytter CVE-2026-46946 til at eskalere sin kontrol over systemet. Kort efter har angriberen adgang til alle kundesager, interne dokumenter og kan begynde at bevæge sig videre til andre moduler i Oracle E-Business Suite.
Angriber udnytter svag adgangskode på systemkonto
En Oracle iSupport-installation har en ældre systemkonto med en standardadgangskode, der aldrig er blevet ændret. En angriber scanner internettet efter eksponerede Oracle-systemer, finder installationen og logger ind med standardoplysningerne. Via sårbarheden overtager angriberen herefter hele iSupport-miljøet og installerer skadelig software (malware), der løbende sender data ud af virksomheden.
Intern trussel — misfornøjet medarbejder
En IT-medarbejder med administratorrettigheder, der er opsagt, udnytter CVE-2026-46946 i sin opsigelsesperiode til at få udvidet adgang til Oracle E-Business Suite. Medarbejderen eksporterer fortrolige kundedata og sletter kritiske sagsoplysninger, inden adgangen lukkes ned. Virksomheden opdager det ikke før uger senere, da en kunde klager over manglende sagshistorik.
Ofte stillede spørgsmål
Skal angriberen sidde fysisk ved min server for at udnytte sårbarheden?
Nej. Angrebet sker via internettet over HTTP — det samme protokol du bruger til at browse hjemmesider. Angriberen kan sidde hvor som helst i verden, så længe dit Oracle iSupport-system er tilgængeligt online.
Angriberen skal have 'høje rettigheder' — er vi så ikke beskyttet, hvis vi passer godt på vores adgangskoder?
Stærke adgangskoder hjælper, men er ikke tilstrækkeligt alene. Høje rettigheder kan opnås via phishing, lækkede adgangskoder fra andre systemer eller ved at udnytte andre sårbarheder. Derfor er det vigtigt at opdatere systemet frem for udelukkende at stole på adgangskodebeskyttelse.
Vi bruger Oracle E-Business Suite, men vi er ikke sikre på om vi har iSupport aktivt — hvad gør vi?
Kontakt din Oracle-leverandør eller den IT-partner, der administrerer jeres E-Business Suite. De kan hurtigt bekræfte, om iSupport-modulet er installeret og aktivt, samt hvilken version I kører. Det er en simpel kontrol, der tager få minutter.
Hvad menes der med, at angrebet kan 'sprede sig til andre systemer'?
I sikkerhedstermer kalder man det et ‘scope change’. Det betyder, at en angriber, der først får fodfæste i iSupport, potentielt kan bevæge sig videre til andre dele af Oracle E-Business Suite eller systemer, der er forbundet med det — f.eks. økonomi- eller HR-moduler. Skaden er altså ikke nødvendigvis begrænset til iSupport alene.
Er der tegn på, at sårbarheden allerede bliver udnyttet aktivt?
Der er endnu ikke bekræftede rapporter om udbredte angreb, men sårbarheden er nyligt offentliggjort, og proof-of-concept-information (en slags opskrift på angrebet) kan blive tilgængeligt kort efter offentliggørelse. Erfaringen viser, at kritiske Oracle-sårbarheder typisk udnyttes hurtigt. Vent ikke.
Hvor lang tid tager det at installere patchen?
Det afhænger af jeres konkrete opsætning og Oracle-leverandørens kapacitet, men en planlagt patchinstallation i Oracle E-Business Suite tager typisk fra et par timer til en halv arbejdsdag. Tal med din leverandør om at fremrykke dette arbejde og planlæg et kort vedligeholdelsesvindue hurtigst muligt.
Ramte produkter
Oracle — Isupport
≥ 12.2.3, < 12.2.15
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Vulnerability in the Oracle iSupport product of Oracle E-Business Suite (component: Internal Operations). Supported versions that are affected are 12.2.3-12.2.15. Easily exploitable vulnerability allows high privileged attacker with network access via HTTP to compromise Oracle iSupport. While the vulnerability is in Oracle iSupport, attacks may significantly impact additional products (scope change). Successful attacks of this vulnerability can result in takeover of Oracle iSupport. CVSS 3.1 Base Score 9.1 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H).
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
