CVE-2026-45171: Kritisk fejl i Palo Alto Idira PSM
Sårbarhed i Palo Alto Idira PSM lader en almindelig bruger overtage hele systemet via mappefejl.
Hvad er det?
CVE-2026-45171 er en sårbarhed i Palo Alto Networks Idira Privileged Session Manager (PSM) — et system, der bruges til at overvåge og kontrollere adgang til kritiske IT-systemer. Fejlen skyldes to problemer kombineret: mangelfuld validering af brugerinput og forkert opsatte mapperettigheder (CWE-22, også kaldet path traversal). Det betyder, at en bruger, der allerede er logget ind med begrænsede rettigheder, kan narre systemet til at udføre vilkårlig kode — altså programmer valgt af angriberen. Sårbarheden rammer versioner 14.0, 14.2, 14.6 og 15.0 af produktet og er vurderet til CVSS-score 8.8 (Alvorlig).
Hvem rammer det?
Sårbarheden rammer virksomheder og organisationer, der bruger Palo Alto Networks Idira Privileged Session Manager i en af de berørte versioner. Produktet bruges typisk af virksomheder med strenge krav til adgangsstyring og revisionsspor — for eksempel finansielle institutioner, sundhedssektoren og offentlige myndigheder. Selv SMV’er med outsourcet IT kan være berørt, hvis deres IT-leverandør anvender PSM til at administrere adgang til virksomhedens systemer.
Hvad kan ske?
En angriber, der har et gyldigt login med selv meget begrænsede rettigheder, kan udnytte fejlen til at eksekvere vilkårlig kode på serveren. Det kan i praksis betyde:
- Fuld overtagelse af PSM-serveren og alle systemer, der administreres herfra.
- Adgang til følsomme data, legitimationsoplysninger (passwords og nøgler) og logfiler.
- Mulighed for at installere bagdøre eller ransomware på tværs af virksomhedens infrastruktur.
- Sletning eller manipulation af revisionslogge, så angrebet bliver svært at opdage efterfølgende.
Hvor alvorligt er det?
CVSS-scoren er 8.8 ud af 10, hvilket klassificeres som Alvorlig. Angrebsvektoren er netværksbaseret, kompleksiteten er lav, og angriberen behøver kun en lav privilegeret konto — ingen fysisk adgang er nødvendig. Alle tre CIA-parametre (fortrolighed, integritet og tilgængelighed) er vurderet til HØJ. Konsekvenserne ved et vellykket angreb kan derfor være meget alvorlige, særligt fordi PSM sidder i hjertet af virksomhedens adgangsstyring.
Hvad gør jeg nu?
Kontakt din IT-ansvarlige eller IT-leverandør i dag og bed dem gennemgå følgende punkter:
- Identificér versionen: Tjek hvilken version af Palo Alto Networks Idira PSM I bruger. Er den ældre end 15.0.3, 14.6.3, 14.2.5 eller 14.0.5, er I sårbare.
- Opdatér straks: Opgradér til en patchet version (15.0.3, 14.6.3, 14.2.5 eller 14.0.5 afhængigt af jeres gren). Følg Palo Alto Networks’ egne vejledninger (CyberArk Security Bulletins CA26-17 og CA26-18).
- Gennemgå adgange: Tjek hvem der har adgang til PSM-systemet. Fjern unødvendige brugerkonti og reducér rettigheder til et minimum.
- Overvåg logfiler: Kig efter uventede aktiviteter i PSM-logge fra de seneste uger. Kontakt en sikkerhedsekspert, hvis I finder noget mistænkeligt.
- Begræns netværksadgang: Som midlertidig foranstaltning — begræns adgang til PSM-serveren til kun nødvendige netværkssegmenter og brugere.
Opdatér inden for 24-72 timer
Vi anbefaler, at du kontakter din IT-leverandør i dag og beder dem opdatere jeres Idira PSM-installation til en patchet version. Prioritér dette højt — PSM er et centralt system, og en kompromittering kan give angribere adgang til hele jeres IT-infrastruktur. Sørg desuden for at gennemgå brugerkonti og adgangsrettigheder til systemet som en del af oprydningen.
Tidslinje
Konkrete eksempler
Intern medarbejder eskalerer rettigheder
En medarbejder med et lavprivilegeret login til PSM-systemet opdager sårbarheden. Ved at sende et manipuleret filsti-input til systemet kan medarbejderen placere og afvikle et ondsindet program på serveren. Hermed opnår medarbejderen fuld administratoradgang og kan nu tilgå alle systemer og data, som PSM overvåger — uden at IT-afdelingen opdager det med det samme.
Kompromitteret tredjeparts-konto misbruges
En ekstern IT-leverandør med adgang til jeres PSM-system bliver udsat for phishing, og deres loginoplysninger stjæles. Angriberen bruger den kompromitterede konto til at udnytte path traversal-fejlen, installerer en bagdør på PSM-serveren og får løbende adgang til virksomhedens kritiske systemer — uden at I ved det, fordi logfilerne efterfølgende renses.
Ransomware-angreb via PSM-server
En trusselsaktør skaffer sig et lavprivilegeret login via credential stuffing (afprøvning af lækkede passwords). Via CVE-2026-45171 opnås fuld kontrol over PSM-serveren, hvorfra angriberen spreder ransomware til alle tilsluttede servere og systemer. Virksomheden oplever total driftsstop og krav om løsesum for at gendanne data.
Ofte stillede spørgsmål
Hvad er Palo Alto Networks Idira PSM, og bruger vi det?
Idira Privileged Session Manager (PSM) er et produkt til at styre og overvåge privilegeret adgang til kritiske IT-systemer — for eksempel servere, databaser og netværksudstyr. Spørg din IT-ansvarlige eller IT-leverandør, om I anvender dette produkt. Det bruges ofte i miljøer med strenge sikkerhedskrav.
Hvad er en 'path traversal'-sårbarhed (CWE-22)?
En path traversal-sårbarhed opstår, når et program ikke tjekker brugerinput grundigt nok, og en angriber derfor kan manipulere filstier til at tilgå eller ændre filer og mapper, de ikke burde have adgang til. I dette tilfælde kombineres det med forkert opsatte mapperettigheder, hvilket giver mulighed for at køre skadelig kode.
Skal angriberen have adgang til vores netværk for at udnytte sårbarheden?
Ja — angriberen skal have et gyldigt login i systemet, selv med meget begrænsede rettigheder. Det kan for eksempel være en utilfreds medarbejder, en kompromitteret brugerkonto eller en ekstern part med adgang. Angrebet kan ske over netværket uden fysisk tilstedeværelse.
Er vi sikre, hvis vi har en firewall foran systemet?
En firewall reducerer risikoen, men er ikke tilstrækkelig alene. Angrebsvektoren kræver kun et gyldigt login — ikke direkte internetadgang til serveren. Opdatering til en patchet version er den eneste fulde løsning. Begrænsning af netværksadgang kan bruges som en midlertidig foranstaltning.
Kan vi opdage, om vi allerede er blevet angrebet?
Gennemgå PSM-systemets logfiler for uventede aktiviteter, nye filer eller ukendte processer. Vær opmærksom på, at en dygtig angriber kan have slettet eller manipuleret logge. Kontakt en IT-sikkerhedsekspert, hvis I er i tvivl — de kan hjælpe med en grundig gennemgang.
Hvad sker der, hvis vi ikke opdaterer?
Risikoen forbliver til stede, så længe systemet kører en sårbar version. Et vellykket angreb kan give fuld kontrol over jeres PSM-server og potentielt alle systemer, der administreres herfra — herunder følsomme data og kritisk infrastruktur. Jo længere tid der går, jo større er risikoen for udnyttelse.
Ramte produkter
Paloaltonetworks — Idira Privileged Session Manager
≥ 14.0, < 14.0.5
Paloaltonetworks — Idira Privileged Session Manager
≥ 14.2, < 14.2.5
Paloaltonetworks — Idira Privileged Session Manager
≥ 14.6, < 14.6.3
Paloaltonetworks — Idira Privileged Session Manager
≥ 15.0, < 15.0.3
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Incomplete input validation and improperly configured folder permissions within Idira Privileged Session Manager (PSM) versions prior to 15.0.3, 14.6.3, 14.2.5, and 14.0.5, an authenticated, low-privileged user could potentially execute arbitrary code. CyberArk Security Bulletin: CA26-17 and CA26-18
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
