CVE-2026-46978: Kritisk fejl i Oracle Solaris 11.4
Kritisk sårbarhed i Oracle Solaris 11.4 giver angribere fuld adgang til dine data via internettet – ingen login krævet.
Hvad er det?
En kritisk sårbarhed er fundet i Oracle Solaris 11.4, nærmere bestemt i en komponent kaldet Remote Administration Daemon (RAD) – det er et baggrundsprogram, der bruges til fjernadministration af serveren via HTTPS. Fejlen gør det muligt for en angriber at tilgå, ændre eller slette data på systemet uden at have et brugernavn eller en adgangskode. Angrebet kan udføres direkte over internettet, og det kræver ingen hjælp fra dig eller dine medarbejdere. Sårbarheden har fået den højest mulige CVSS-score på 10,0, hvilket betyder, at den er så alvorlig, som en sårbarhed kan blive.
Hvem rammer det?
Sårbarheden rammer virksomheder og organisationer, der kører Oracle Solaris version 11.4 som styresystem på deres servere. Oracle Solaris bruges typisk i større it-miljøer, industri, finans og offentlige institutioner – men også hos SMV’er, der har arvet ældre infrastruktur eller bruger Oracle-produkter. Hvis du er i tvivl om, hvilke styresystemer dine servere kører, bør du kontakte din it-leverandør eller systemadministrator og få det tjekket.
Hvad kan ske?
Hvis en angriber udnytter denne sårbarhed, kan vedkommende:
- Læse alle data på Oracle Solaris-serveren – inklusive fortrolige forretningsdata, kundeoplysninger og adgangskoder.
- Ændre eller slette kritiske data – fx manipulere med filer, databaser eller konfigurationer.
- Sprede angrebet til andre systemer i dit netværk, fordi CVSSen viser ‘scope change’, hvilket betyder at angrebet kan hoppe videre fra den ramte server.
Bemærk, at selve driftsafbrydelsen (tilgængelighed) ikke er en direkte konsekvens ifølge sårbarhedsbeskrivelsen, men datatab og -manipulation kan i sig selv lamme forretningen.
Hvor alvorligt er det?
Dette er en maksimalt alvorlig sårbarhed med en CVSS-score på 10,0 ud af 10. Det er sjældent, og det bør tages meget alvorligt. Kombinationen af, at angrebet kan ske over netværket uden login, uden brugerinteraktion og med mulighed for at sprede sig til andre systemer, gør den ekstremt farlig. Oracle har selv klassificeret den som kritisk. Har du Oracle Solaris 11.4 i drift, bør du handle nu.
Hvad gør jeg nu?
Følg disse trin hurtigst muligt – kontakt din it-leverandør eller systemadministrator, hvis du er usikker på noget af det:
- Find ud af, om du bruger Oracle Solaris 11.4. Spørg din it-ansvarlige eller leverandør. Kig efter servere der kører Solaris.
- Installer Oracles sikkerhedsopdatering. Oracle udgiver løbende Critical Patch Updates (CPU’er). Tjek Oracles hjemmeside for den seneste patch til Solaris 11.4 og installér den hurtigst muligt.
- Begræns adgangen til RAD-tjenesten (port 6788/HTTPS). Bloker eller begræns netværksadgang til Remote Administration Daemon via din firewall, så den ikke er tilgængelig fra internettet eller uautoriserede netværkssegmenter.
- Gennemgå logfiler. Bed din it-ansvarlige om at tjekke systemlogfiler for usædvanlig aktivitet, der kan tyde på, at nogen allerede har forsøgt at udnytte sårbarheden.
- Hold systemet overvåget. Opsæt eller forstærk overvågning af serveren, indtil patchen er installeret og bekræftet.
Patch nu – kritisk alvorlighed
Hos Auroa anbefaler vi, at du behandler denne sårbarhed som en akut opgave og får installeret Oracles patch inden for de næste 24-72 timer. Sørg desuden for, at RAD-tjenesten ikke er tilgængelig direkte fra internettet, mens du arbejder på opdateringen. Kontakt os gerne, hvis du har brug for hjælp til at vurdere din eksponering eller gennemføre patching sikkert.
Tidslinje
Konkrete eksempler
Direkte datatyveri via åbent internet
En angriber scanner internettet for servere med port 6788 åben – det er porten, som RAD bruger. Når en Oracle Solaris 11.4-server identificeres, sender angriberen en specialkonstrueret HTTPS-forespørgsel, der udnytter fejlen i RAD. Uden at have et login får angriberen nu læseadgang til alle data på serveren – inklusive kundedatabaser, regnskabsfiler og adgangskodelagre.
Manipulation af forretningskritiske data
En angriber udnytter sårbarheden til ikke blot at læse, men aktivt at ændre data på serveren. Det kan fx betyde, at fakturaer manipuleres, at adgangskoder til andre systemer ændres, eller at konfigurationsfiler slettes – alt sammen uden at efterlade spor i traditionelle adgangskontrollogfiler, fordi adgangen sker via en fejl i selve tjenesten.
Lateral bevægelse i virksomhedens netværk
Efter at have kompromitteret Solaris-serveren bruger angriberen den som et springbræt ind i resten af virksomhedens interne netværk. Herfra kan angriberen nå interne systemer, der normalt ikke er tilgængelige fra internettet – fx interne applikationsservere, filservere eller backup-systemer – og potentielt igangsætte et ransomware-angreb.
Ofte stillede spørgsmål
Hvad er Remote Administration Daemon (RAD)?
RAD er et baggrundsprogram i Oracle Solaris, der bruges til at administrere serveren på afstand via en sikker HTTPS-forbindelse. Det er praktisk for it-administratorer, men denne sårbarhed gør det til en indgang for angribere, hvis det ikke er beskyttet.
Skal angriberen have et login for at udnytte sårbarheden?
Nej. Det er præcis det, der gør denne sårbarhed så alvorlig. En angriber behøver hverken brugernavn, adgangskode eller hjælp fra nogen i din virksomhed. Det eneste krav er netværksadgang til den sårbare server.
Hvad menes der med 'scope change' i CVSS-vektoren?
Scope change betyder, at et vellykket angreb ikke nødvendigvis stopper ved den ene server. Angriberen kan potentielt bruge den kompromitterede Solaris-server som springbræt til at angribe andre systemer i dit netværk – fx interne databaser eller andre servere.
Kan min firewall beskytte mig, mens jeg venter på at patche?
En firewall, der blokerer adgang til RAD-tjenesten (typisk port 6788) fra internettet og uautoriserede netværk, reducerer risikoen markant. Det er en god midlertidig foranstaltning, men den erstatter ikke patchen. Sørg for at få opdateringen installeret hurtigst muligt.
Hvordan ved jeg, om nogen allerede har udnyttet sårbarheden på mine systemer?
Bed din it-ansvarlige om at gennemgå systemlogfiler fra RAD-tjenesten og netværkslogfiler for usædvanlige forbindelsesforsøg eller aktivitet. Auroa kan hjælpe med en gennemgang, hvis du er i tvivl om, hvad du skal kigge efter.
Gælder sårbarheden også for andre versioner af Oracle Solaris?
Ifølge NVD er det kun Oracle Solaris version 11.4, der er bekræftet sårbar. Kører du en ældre version, bør du kontakte Oracle for at afklare status – ældre versioner kan have andre sårbarheder eller være ude af support (EOL).
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Vulnerability in the Oracle Solaris product of Oracle Systems (component: Remote Administration Daemon). The supported version that is affected is 11.4. Easily exploitable vulnerability allows unauthenticated attacker with network access via HTTPS to compromise Oracle Solaris. While the vulnerability is in Oracle Solaris, attacks may significantly impact additional products (scope change). Successful attacks of this vulnerability can result in unauthorized creation, deletion or modification access to critical data or all Oracle Solaris accessible data as well as unauthorized access to critical data or complete access to all Oracle Solaris accessible data. CVSS 3.1 Base Score 10.0 (Confidentiality and Integrity impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N).
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
