CVE-2026-45177: Kritisk fejl i Palo Alto Idira Secrets Manager
Kritisk fejl i Palo Alto Idira Secrets Manager Edge giver angribere adgang til hemmelige nøgler uden login.
Hvad er det?
En kritisk sikkerhedsfejl (CVE-2026-45177) er fundet i Palo Alto Networks Idira Secrets Manager Edge — et produkt der bruges til at opbevare og styre adgangsnøgler, passwords og certifikater i virksomheder. Fejlen betyder, at den interne godkendelseskontrol (den mekanisme der tjekker om du må logge ind) kan omgås. En angriber kan sende en særligt udformet forespørgsel til systemet og — uden at kende brugernavn eller password — narre systemet til at udstede et adgangstoken (en digital nøgle der giver adgang). Fejlen kræver hverken, at angriberen er logget ind eller har særlige rettigheder, og den kan udnyttes direkte over internettet.
Hvem rammer det?
Du er berørt, hvis din virksomhed bruger Palo Alto Networks Idira Secrets Manager Edge i en version ældre end 1.8. Det gælder typisk virksomheder der:
- Bruger Idira Secrets Manager som SaaS-løsning (software leveret over internettet) med Edge-komponenten installeret lokalt eller i en sky-opsætning.
- Automatiserer adgangsstyring til systemer, API-nøgler (programmeringsgrænseflader) eller interne tjenester via dette produkt.
- Har IT-afdelinger eller leverandører der administrerer hemmeligheder og certifikater centralt.
Er du i tvivl om hvilken version du kører, bør du kontakte din IT-ansvarlige eller leverandør straks.
Hvad kan ske?
Hvis en angriber udnytter denne fejl, kan konsekvenserne være alvorlige:
- Uautoriseret adgang: Angriberen kan skaffe sig et gyldigt adgangstoken og dermed logge ind i systemer, som om vedkommende var en legitim bruger eller tjeneste.
- Datatyveri: Med adgang til Secrets Manager kan angriberen potentielt læse og stjæle lagrede adgangsnøgler, API-nøgler, databasepasswords og certifikater.
- Videre angreb: De stjålne nøgler kan bruges til at kompromittere andre systemer i din virksomhed — f.eks. databaser, cloud-tjenester eller forretningskritiske applikationer.
- Manipulation: Angriberen kan ændre eller injicere falske hemmeligheder, hvilket kan forstyrre forretningskritiske processer.
Bemærk: Produktets tilgængelighed (A=NONE) påvirkes ikke direkte — systemet fortsætter med at køre, hvilket kan gøre angrebet sværere at opdage.
Hvor alvorligt er det?
Denne sårbarhed er vurderet til 9.1 ud af 10 (Kritisk) af det internationale NVD-sikkerhedssystem. Det er en af de højeste mulige scorer. Årsagerne til den høje score er:
- Ingen login krævet: Angriberen behøver ikke at kende et password eller have en konto.
- Ingen brugerinteraktion: Angrebet kræver ikke, at en medarbejder klikker på noget eller godkender noget.
- Udføres over netværket: Det kan ske fra hele internettet — ikke kun fra dit lokale netværk.
- Lav kompleksitet: Det kræver ikke avanceret viden at udnytte fejlen.
Kombinationen af disse faktorer gør, at automatiserede angreb kan forsøge at udnytte sårbarheden i stor skala.
Hvad gør jeg nu?
Du bør handle hurtigt. Her er de konkrete trin:
- Find ud af om du er berørt: Bed din IT-ansvarlige eller leverandør om at bekræfte, hvilken version af Idira Secrets Manager Edge I kører. Er den ældre end version 1.8, er I sårbare.
- Opdater til version 1.8 eller nyere: Installer den tilgængelige opdatering fra Palo Alto Networks så hurtigt som muligt. Følg vejledningen i CyberArk Security Bulletin CA26-20.
- Begræns netværksadgang midlertidigt: Hvis opdateringen ikke kan installeres med det samme, bør I overveje at begrænse adgangen til Edge-komponenten fra internettet, indtil opdateringen er på plads.
- Gennemgå adgangslogs: Bed IT om at tjekke systemlogs (registreringer af al aktivitet) for mistænkelig aktivitet — særligt uventede login-forsøg eller udstedelse af adgangstokens.
- Rotiér eksponerede hemmeligheder: Hvis I mistænker, at systemet har været tilgængeligt udefra, bør alle lagrede adgangsnøgler og passwords udskiftes som en sikkerhedsforanstaltning.
- Kontakt jeres leverandør: Har I en managed service-aftale, skal leverandøren orienteres og bedt om at dokumentere, at opdateringen er gennemført.
Opdater inden for 24-72 timer
Vi anbefaler, at du behandler denne sårbarhed som en akut opgave. En angriber kan uden videre skaffe sig adgang til alle de hemmeligheder, dit Idira Secrets Manager Edge opbevarer — det er i praksis en hovednøgle til mange af dine systemer på én gang. Opdater til version 1.8 straks, og få gennemgået jeres logs for at udelukke, at nogen allerede har udnyttet fejlen. Kontakt os, hvis I har brug for hjælp til at vurdere omfanget eller gennemføre oprydningen.
Tidslinje
Konkrete eksempler
Angriber skaffer adgangstoken uden login
En angriber sender en særligt udformet HTTP-forespørgsel direkte til den eksponerede Idira Edge-komponent over internettet. Systemets interne validering fejlfortolker forespørgslen og udsteder et gyldigt adgangstoken. Angriberen bruger nu dette token til at læse alle lagrede API-nøgler og databasepasswords — uden at have haft et brugernavn eller password.
Fjernadgang til cloud-infrastruktur via stjålne nøgler
En virksomhed gemmer sine Azure- og AWS-adgangsnøgler (til cloud-tjenester) i Idira Secrets Manager Edge. En angriber udnytter CVE-2026-45177 til at hente disse nøgler og logger derefter direkte ind i virksomhedens cloud-miljø. Herfra kan angriberen kopiere kundedata, slette backups eller installere ransomware (software der krypterer data og kræver løsepenge).
Supply chain-angreb via kompromitteret leverandøradgang
En ekstern IT-leverandør administrerer Idira Secrets Manager Edge for en SMV. Leverandørens Edge-instans er ikke opdateret. En angriber kompromitterer instansen, skaffer adgangstokens og bruger dem til at bevæge sig videre ind i SMV’ens egne systemer — uden at hverken leverandøren eller SMV’en opdager det med det samme, fordi driften ikke afbrydes.
Ofte stillede spørgsmål
Hvad er Idira Secrets Manager Edge, og bruger vi det?
Idira Secrets Manager Edge er en komponent i Palo Alto Networks’ løsning til central styring af adgangsnøgler, certifikater og passwords på tværs af systemer. Det bruges typisk af virksomheder med automatiserede IT-processer eller mange integrationer mellem systemer. Din IT-ansvarlige eller leverandør kan bekræfte, om I anvender produktet og hvilken version I kører.
Kan vi se, om nogen allerede har udnyttet fejlen?
Det er muligt, men kræver en gennemgang af systemlogs. Fordi angrebet ikke nødvendigvis afbryder driften, kan det have foregået ubemærket. Bed din IT-ansvarlige om at søge efter uventede adgangstokens, usædvanlige login-mønstre eller forespørgsler til interne godkendelseskomponenter fra ukendte IP-adresser. Hvis I er i tvivl, kan en ekstern sikkerhedsgennemgang give ro i maven.
Er vi i fare, hvis Idira Edge ikke er direkte eksponeret mod internettet?
Risikoen reduceres betydeligt, hvis Edge-komponenten kun er tilgængelig fra jeres interne netværk eller via VPN (krypteret fjernforbindelse). Men I er stadig sårbare over for angreb indefra netværket — f.eks. fra en kompromitteret medarbejdercomputer eller en ekstern leverandør med adgang. Opdatering anbefales uanset opsætning.
Hvad sker der, hvis vi ikke opdaterer?
En uopdateret installation er et potentielt indgangspunkt til alle de systemer, hvis adgangsnøgler er gemt i Secrets Manager. Det kan i værste fald betyde, at en angriber opnår adgang til databaser, cloud-tjenester og kritiske applikationer uden at udløse normale alarmmekanismer. Jo længere I venter, desto større er sandsynligheden for, at automatiserede angrebsværktøjer finder og udnytter sårbarheden.
Skal vi informere vores kunder eller myndigheder?
Det afhænger af, om I opdager tegn på faktisk misbrug. Hvis persondata kan være kompromitteret, har I under GDPR (EU’s databeskyttelsesforordning) pligt til at anmelde det til Datatilsynet inden for 72 timer. Kontakt din juridiske rådgiver eller os, hvis I er i tvivl om, hvad der gælder i jeres konkrete situation.
Ramte produkter
Paloaltonetworks — Idira Secrets Manager Edge
< 1.8
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Idira Secrets Manager SaaS Edge versions prior to 1.8 exhibit improper access control within its internal authentication components. A remote, unauthenticated attacker could exploit this by submitting a specially crafted request. Under specific circumstances, this could allow the attacker to manipulate internal validation mechanisms, potentially leading to a bypass of identity verification and the unauthorized acquisition of an access token. CyberArk Security Bulletin: CA26-20
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
