CVE-2026-45174: Sårbarhed i Idira Endpoint Privilege Manager
Sårbarhed i Idira Endpoint Privilege Manager giver lokale angribere mulighed for at overtage systemstyring på Linux-maskiner.
Hvad er det?
CVE-2026-45174 er en sårbarhed i Palo Alto Networks’ Idira Endpoint Privilege Manager – et sikkerhedsprodukt der styrer, hvilke rettigheder brugere og programmer har på en computer. Fejlen findes i den del af softwaren, der kører på Linux-maskiner (kaldet ‘agenten’), og skyldes en forkert håndtering af ressourcer ved opstart (CWE-404). Det betyder, at en angriber med begrænset adgang til maskinen kan manipulere agentens opstartproces og derved opnå langt højere rettigheder end tiltænkt.
Hvem rammer det?
Sårbarheden rammer virksomheder, der bruger Palo Alto Networks Idira Endpoint Privilege Manager på Linux-servere eller Linux-arbejdsstationer – i versioner ældre end 26.5.0. Hvis din virksomhed bruger dette produkt til at administrere brugerrettigheder på Linux-systemer, er du potentielt i risikogruppen.
Hvad kan ske?
En angriber, der allerede har en almindelig brugerkonto på den berørte Linux-maskine, kan udnytte fejlen til at kompromittere selve sikkerhedsagenten under opstart. Det kan i praksis betyde:
- Fortrolighed: Angriberen kan læse følsomme data, herunder legitimationsoplysninger og konfigurationsfiler.
- Integritet: Angriberen kan ændre systemfiler, installere bagdøre eller manipulere med sikkerhedsindstillinger.
- Tilgængelighed: Angriberen kan deaktivere eller slette sikkerhedskomponenter, hvilket kan lamme systemet.
Alle tre kerneområder inden for sikkerhed (fortrolighed, integritet og tilgængelighed) er vurderet til høj risiko.
Hvor alvorligt er det?
Sårbarheden er vurderet til 7.8 ud af 10 (Alvorlig) på CVSS-skalaen (en standardiseret metode til at vurdere sårbarheders alvor). Angrebet kræver fysisk eller netværksmæssig adgang til maskinen samt en eksisterende brugerkonto – men ingen særlige tekniske færdigheder eller administratorrettigheder. Det faktum, at selve sikkerhedsværktøjet kompromitteres, gør det særligt problematisk, da det kan undergrave hele din endpoint-sikkerhedsstrategi.
Hvad gør jeg nu?
Følg disse trin for at beskytte din virksomhed:
- Kortlæg omfanget: Identificér alle Linux-systemer i din virksomhed, der kører Idira Endpoint Privilege Manager. Spørg din IT-leverandør eller IT-ansvarlige, hvis du er i tvivl.
- Opdatér softwaren: Opgradér Idira Endpoint Privilege Manager Linux Agent til version 26.5.0 eller nyere. Opdateringen er tilgængelig fra Palo Alto Networks.
- Prioritér servere og kritiske systemer: Start opdateringen på de mest følsomme systemer – fx servere med kundedata eller finansielle oplysninger.
- Begræns lokal adgang: Som midlertidig foranstaltning bør du sikre, at kun nødvendige brugere har lokal adgang til berørte Linux-maskiner, indtil opdateringen er gennemført.
- Overvåg for mistænkelig aktivitet: Hold øje med unormale hændelser i systemlogs på de berørte maskiner, særligt i forbindelse med opstart af agenten.
Opdatér inden for 7 dage
Auroa anbefaler, at du opdaterer Idira Endpoint Privilege Manager Linux Agent til version 26.5.0 hurtigst muligt – helst inden for den kommende uge. Selvom et angreb kræver lokal adgang til maskinen, er konsekvenserne meget alvorlige, da selve sikkerhedsagenten kan kompromitteres. Kontakt os, hvis du har brug for hjælp til at kortlægge dine systemer eller gennemføre opdateringen.
Tidslinje
Konkrete eksempler
Intern medarbejder eskalerer rettigheder
En medarbejder med adgang til en Linux-server – fx via en supportkonto – udnytter sårbarheden under agentens genstart til at manipulere opstartprocessen. Herved opnår medarbejderen fuld administratoradgang (root) og kan derefter tilgå fortrolige filer, ændre systemkonfigurationer eller deaktivere sikkerhedsovervågning uden at efterlade spor i de normale logfiler.
Angriber udnytter kompromitteret brugerkonto
En ekstern angriber har via phishing skaffet sig adgang til en medarbejders Linux-brugerkonto med begrænsede rettigheder. Ved at udnytte CVE-2026-45174 kan angriberen eskalere sine rettigheder til systemniveau, installere en bagdør og etablere vedvarende adgang til virksomhedens infrastruktur – alt imens sikkerhedsagenten, der normalt ville opdage dette, er blevet kompromitteret.
Deaktivering af sikkerhedsovervågning
En angriber med lokal adgang udnytter sårbarheden til at stoppe eller manipulere Idira-agenten permanent. Resultatet er, at virksomhedens endpoint-sikkerhed reelt er slukket på den pågældende maskine, uden at IT-afdelingen opdager det. Angriberen kan herefter frit bevæge sig rundt i systemet og forberede et større angreb mod resten af netværket.
Ofte stillede spørgsmål
Hvad er Idira Endpoint Privilege Manager?
Idira Endpoint Privilege Manager er et sikkerhedsprodukt fra Palo Alto Networks, der bruges til at styre og begrænse de rettigheder, brugere og programmer har på computere og servere. Det er designet til at forhindre, at angribere eller fejlagtige programmer får for meget magt over et system.
Skal angriberen have fysisk adgang til min server?
Angriberen skal have lokal adgang til maskinen, men det behøver ikke nødvendigvis at være fysisk tilstedeværelse. Det kan også være en bruger, der er logget ind via fjernadgang (fx SSH), eller en angriber der allerede har kompromitteret en anden konto på systemet. Risikoen er derfor reel, selv i fjernmiljøer.
Er mit Windows-miljø også påvirket?
Nej – ifølge de tilgængelige oplysninger berører denne sårbarhed udelukkende Linux-versionen af Idira Endpoint Privilege Manager Agent. Windows-installationer er ikke nævnt som berørte. Du bør dog holde øje med eventuelle opdaterede sikkerhedsbulletiner fra Palo Alto Networks.
Hvad sker der, hvis jeg ikke opdaterer?
Hvis du ikke opdaterer, forbliver dine Linux-systemer med Idira-agenten sårbare. En angriber med en almindelig brugerkonto kan potentielt overtage fuld kontrol over systemet, herunder deaktivere sikkerhedssoftware, stjæle data eller installere skadelig kode. Da det er selve sikkerhedsværktøjet, der kompromitteres, kan andre sikkerhedsforanstaltninger også sættes ud af kraft.
Hvor finder jeg opdateringen?
Opdateringen til version 26.5.0 eller nyere kan hentes via Palo Alto Networks’ officielle supportportal. Din IT-leverandør eller den person, der administrerer jeres endpoint-sikkerhed, bør kunne hjælpe med at fremskaffe og installere opdateringen. Se også CyberArk Security Bulletin CA26-19 for yderligere detaljer.
Ramte produkter
Paloaltonetworks — Idira Endpoint Privilege Manager
< 26.5.0
Linux — Linux Kernel
–
CVSS-detaljer
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Idira Endpoint Privilege Manager Linux Agent versions prior to 26.5 allow a local attacker to potentially compromise the agent daemon initialization. CyberArk Security Bulletin: CA26-19
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
