CVE-2026-45175: CyberArk Idira Endpoint Privilege Manager
Fejl i CyberArk Idira Endpoint Privilege Manager giver lokale angribere mulighed for at omgå sikkerhedskontroller og få fuld systemadgang.
Hvad er det?
CyberArk Idira Endpoint Privilege Manager er et sikkerhedsprogram, der styrer, hvilke handlinger brugere må udføre på en computer. En fejl i programmet (CVE-2026-45175) betyder, at en angriber med adgang til computeren kan narre programmet til at tro, at bestemte handlinger er gyldige og godkendte — selvom de ikke er det. Fejlen skyldes mangelfuld validering af kryptografiske certifikater (digitale beviser for, at noget er ægte). Det gør det muligt at omgå programmets egne forsvarsmekanismer og udføre uautoriserede handlinger med høje rettigheder på systemet.
Hvem rammer det?
Sårbarheden rammer virksomheder og organisationer, der bruger CyberArk Idira Endpoint Privilege Manager i version ældre end 26.5.0 på Windows, macOS eller Linux. Det er typisk mellemstore og større virksomheder, der bruger dette produkt til at styre og begrænse medarbejdernes rettigheder på arbejdscomputere. Hvis din virksomhed har installeret dette sikkerhedsprogram, bør du tjekke, hvilken version I kører.
Hvad kan ske?
En angriber, der allerede har adgang til en berørt computer — fx en misfornøjet medarbejder, en hacker der er kommet ind via phishing, eller et stykke skadelig software — kan udnytte fejlen til at:
- Omgå de sikkerhedsregler, som Idira Endpoint Privilege Manager er sat op til at håndhæve
- Opnå fuld kontrol over computeren (høje systemrettigheder)
- Læse, ændre eller slette fortrolige data
- Deaktivere sikkerhedsprogrammets egne beskyttelsesmekanismer
- Installere skadelig software eller bagdøre uden at blive opdaget
Konsekvenserne for fortrolighed, integritet og tilgængelighed af data vurderes alle som høje.
Hvor alvorligt er det?
Sårbarheden er vurderet til en CVSS-score på 7.8 ud af 10, hvilket klassificeres som alvorlig. Angrebskompleksiteten er lav, hvilket betyder, at det ikke kræver særlige tekniske færdigheder at udnytte fejlen. Dog kræver angrebet lokal adgang til den berørte computer — angriberen skal altså allerede befinde sig på maskinen eller have en brugerkonto. Det reducerer risikoen en smule sammenlignet med angreb, der kan udføres over internettet. Ikke desto mindre er konsekvenserne ved et vellykket angreb fulde: total kompromittering af systemet.
Hvad gør jeg nu?
Du bør handle hurtigt og systematisk. Følg disse trin:
- Find ud af, om I er berørt: Tjek, om din virksomhed bruger CyberArk Idira Endpoint Privilege Manager, og hvilken version der er installeret (kig i systemets programliste eller spørg din IT-ansvarlige).
- Opdater til version 26.5.0 eller nyere: Installer den seneste version fra CyberArks officielle hjemmeside eller via jeres IT-leverandør. Opdateringen lukker sårbarheden.
- Begræns lokal adgang: Sørg for, at kun nødvendige brugere har lokal adgang til de berørte computere, mens opdateringen rulles ud.
- Gennemgå logfiler: Kontrollér, om der har været mistænkelig aktivitet på systemer med den sårbare software — særligt forsøg på at ændre sikkerhedsindstillinger eller eskalere rettigheder.
- Informér jeres IT-partner: Hvis I bruger en ekstern IT-leverandør, skal de orienteres, så de kan hjælpe med at prioritere opdateringen.
Opdatér snarest muligt
Vi anbefaler, at du opdaterer CyberArk Idira Endpoint Privilege Manager til version 26.5.0 eller nyere hurtigst muligt. Selvom angrebet kræver lokal adgang, er konsekvenserne ved et vellykket angreb alvorlige — og insidertrusler eller kompromitterede brugerkonti er reelle scenarier i mange virksomheder. CyberArk har udgivet en sikkerhedsopdatering, der løser problemet, og der er ingen grund til at vente. Kontakt os, hvis du er i tvivl om, hvordan du gennemfører opdateringen sikkert i din virksomhed.
Tidslinje
Konkrete eksempler
Misfornøjet medarbejder eskalerer sine rettigheder
En medarbejder med en standard brugerkonto på sin arbejdscomputer er utilfreds og ønsker adgang til data, han normalt ikke har rettighed til. Han udnytter CVE-2026-45175 til at narre Idira Endpoint Privilege Manager til at acceptere en ugyldig kryptografisk validering, hvilket giver ham fuld administratoradgang på maskinen. Derfra kan han tilgå fortrolige filer, ændre logfiler og installere software uden opdagelse.
Hacker med kompromitteret konto omgår sikkerhedsprogrammet
En angriber har via phishing skaffet sig adgang til en medarbejders brugerkonto med begrænsede rettigheder. Normalt ville Idira Endpoint Privilege Manager forhindre yderligere eskalering. Men ved at udnytte fejlen i certifikatvalideringen kan angriberen omgå programmets forsvarsmekanismer, deaktivere sikkerhedslogning og bevæge sig frit rundt i virksomhedens netværk uden at efterlade tydelige spor.
Skadelig software deaktiverer sikkerhedsprogrammet
Et stykke ransomware (afpresningssoftware), der er landet på en computer via et inficeret vedhæft i en e-mail, forsøger at deaktivere sikkerhedsprogrammer, inden det krypterer filer. Ved at udnytte CVE-2026-45175 kan ransomwaren omgå Idira Endpoint Privilege Managers selvbeskyttelsesmekanismer, slukke for overvågning og derefter kryptere virksomhedens data — uden at sikkerhedsprogrammet griber ind.
Ofte stillede spørgsmål
Skal angriberen sidde fysisk ved computeren for at udnytte fejlen?
Ikke nødvendigvis. Angrebet kræver lokal adgang til computeren, men det kan også betyde, at angriberen er logget ind via fjernadgang (fx Remote Desktop) med en kompromitteret brugerkonto. Det er ikke et krav, at vedkommende fysisk er til stede ved maskinen.
Er vi i fare, selvom vi bruger programmet på macOS eller Linux?
Ja. Sårbarheden påvirker Idira Endpoint Privilege Manager på tværs af Windows, macOS og Linux. Uanset styresystem bør du opdatere til version 26.5.0 eller nyere, hvis du bruger programmet.
Hvad er CWE-295, og hvorfor er det farligt?
CWE-295 er en betegnelse for en fejl i håndteringen af digitale certifikater — de digitale beviser, der bruges til at bekræfte, om noget er ægte og pålideligt. Når et program ikke tjekker disse certifikater korrekt, kan en angriber præsentere et falsk eller ugyldigt certifikat og alligevel blive betragtet som troværdig af systemet. Det svarer til, at en vagt accepterer et falsk ID uden at tjekke det ordentligt.
Kan vi bruge en midlertidig løsning, mens vi venter på at opdatere?
CyberArk har ikke offentliggjort en specifik midlertidig løsning (workaround). Den bedste beskyttelse er at opdatere til version 26.5.0 hurtigst muligt. I mellemtiden kan I reducere risikoen ved at begrænse lokal adgang til berørte computere og overvåge for mistænkelig aktivitet.
Hvordan ved jeg, hvilken version vi kører?
På Windows kan du finde versionen under ‘Programmer og funktioner’ i Kontrolpanel — søg efter CyberArk eller Idira. På macOS og Linux kan du typisk finde versionsoplysninger i programmets indstillinger eller via kommandolinjen. Alternativt kan din IT-leverandør eller CyberArk-support hjælpe dig med at tjekke dette.
Er der kendte angreb, der allerede udnytter denne sårbarhed?
Pr. offentliggørelsesdatoen den 11. juni 2026 er der ikke rapporteret om kendte aktive angreb, der udnytter denne sårbarhed. Det betyder dog ikke, at risikoen er elimineret — jo længere du venter med at opdatere, jo større er chancen for, at nogen udvikler og anvender et angrebsværktøj.
Ramte produkter
Paloaltonetworks — Idira Endpoint Privilege Manager
< 26.5.0
Apple — Macos
–
Linux — Linux Kernel
–
Microsoft — Windows
–
CVSS-detaljer
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Idira Endpoint Privilege Manager Agent versions prior to 26.5 exhibit improper access control within internal agent validation processes. A local attacker could potentially bypass built-in security controls or cryptographic validations. Under specific circumstances, this could allow the attacker to circumvent agent self-defense mechanisms and execute unauthorized operations. CyberArk Security Bulletin: CA26-19
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
