CVE-2026-35313: Kritisk fejl i Oracle Access Manager
Kritisk fejl i Oracle Access Manager lader angribere med simpel adgang overtage hele systemet via netværket.
Hvad er det?
Oracle Access Manager er et system, der styrer login og adgangskontrol (hvem der må logge ind på hvad) i større it-miljøer. En kritisk sårbarhed i systemets autentificeringsmotor (den del der tjekker brugeridentiteter) gør det muligt for en angriber med blot en almindelig brugerkonto at overtage hele Oracle Access Manager via internettet. Angrebet kræver ingen særlige tekniske forudsætninger og kan udføres uden hjælp fra andre brugere. Fejlen er fundet i version 12.2.1.4.0 og 14.1.2.1.0.
Hvem rammer det?
Sårbarheden rammer virksomheder og organisationer, der bruger Oracle Access Manager som en del af deres Oracle Fusion Middleware-platform til at håndtere brugerstyring og adgangskontrol. Det er typisk mellemstore og større virksomheder med Oracle-baserede it-systemer, men også SMV’er der anvender Oracle-løsninger som en del af outsourcet eller cloud-baseret drift kan være berørt. Hvis din virksomhed anvender Oracle Fusion Middleware, bør du straks tjekke om Oracle Access Manager er en del af opsætningen.
Hvad kan ske?
En angriber med en simpel brugerkonto — for eksempel en tidligere medarbejder eller en person der har gættet eller stjålet et login — kan via internettet fuldstændig overtage Oracle Access Manager. Det betyder at angriberen potentielt kan:
- Få adgang til alle brugerkonti og passwords styret af systemet
- Ændre eller slette data i tilknyttede systemer
- Lukke for adgang til kritiske systemer (nedbrud/utilgængelighed)
- Sprede sig videre til andre systemer, som Oracle Access Manager er forbundet til (scope change)
Konsekvenserne kan altså ramme langt ud over selve adgangsstyringssystemet og kompromittere hele virksomhedens it-infrastruktur.
Hvor alvorligt er det?
CVSS-scoren er 9,9 ud af 10 — Kritisk. Det er næsten det højest opnåelige niveau. Kombinationen af netværksbaseret angreb, lav kompleksitet, ingen behov for avancerede rettigheder og fuld påvirkning af fortrolighed, integritet og tilgængelighed gør dette til en ekstrem alvorlig sårbarhed. Dertil kommer, at angrebet kan påvirke andre systemer end Oracle Access Manager (scope change), hvilket forstærker alvoren markant.
Hvad gør jeg nu?
Handl hurtigt. Følg disse trin:
- Identificér om din virksomhed bruger Oracle Access Manager — spørg din it-leverandør eller it-ansvarlige om Oracle Fusion Middleware er i brug, og hvilken version der kører.
- Installer Oracles officielle sikkerhedsopdatering — Oracle udgiver sikkerhedsrettelser (patches) som en del af deres Critical Patch Update (CPU). Sørg for at disse installeres hurtigst muligt på berørte systemer.
- Begræns netværksadgang midlertidigt — hvis patching ikke kan ske med det samme, bør du overveje at begrænse adgangen til Oracle Access Manager fra det åbne internet via en firewall (netværksmur), indtil opdateringen er på plads.
- Gennemgå adgangslogfiler — bed din it-ansvarlige om at tjekke logfiler for mistænkelig aktivitet, særligt uventede logins eller ændringer i brugeradministrationen.
- Skift adgangskoder — overvej at nulstille adgangskoder for privilegerede brugere (administratorer) i systemer tilknyttet Oracle Access Manager som en ekstra sikkerhedsforanstaltning.
Patch nu — kritisk sårbarhed
Vi anbefaler på det kraftigste, at du kontakter din it-leverandør i dag og beder om en status på om Oracle Access Manager er berørt, og hvornår sikkerhedsopdateringen kan installeres. Med en CVSS-score på 9,9 og et angreb der ikke kræver avancerede kompetencer, er risikoen for udnyttelse meget høj. Jo hurtigere du handler, jo bedre er du stillet.
Tidslinje
Konkrete eksempler
Tidligere medarbejder overtager adgangssystemet
En tidligere it-medarbejder, hvis brugerkonto ikke er blevet lukket korrekt, logger ind på Oracle Access Manager via internettet med sine gamle loginoplysninger. Grundet sårbarheden i autentificeringsmotoren kan vedkommende eskalere sin adgang og overtage hele systemet. Herefter ændrer angriberen administratorkodeord og lukker reelle medarbejdere ude fra virksomhedens systemer.
Phishing-angreb åbner døren
En angriber sender en falsk e-mail til en medarbejder og narrer vedkommende til at opgive sit brugernavn og kodeord (phishing). Med disse almindelige brugeroplysninger udnytter angriberen CVE-2026-35313 til at kompromittere Oracle Access Manager og dermed få adgang til alle de systemer, der er tilknyttet virksomhedens adgangsstyring — herunder økonomi-, HR- og kundesystemer.
Angriber fra datalæk på mørkt net
En angriber køber en liste med lækkede brugernavne og kodeord fra det mørke net (dark web), som stammer fra en tidligere datalæk hos en anden tjeneste. Mange brugere genbruger kodeord på tværs af systemer. Angriberen afprøver disse kombinationer mod Oracle Access Manager og lykkes med at logge ind som en lavprivilegeret bruger. Via CVE-2026-35313 overtager angriberen herefter hele adgangssystemet og installerer bagdøre (skjulte adgangsveje) til fremtidig misbrug.
Ofte stillede spørgsmål
Vi bruger Oracle, men er vi sikre på at vi bruger Oracle Access Manager?
Ikke nødvendigvis alle Oracle-kunder bruger Oracle Access Manager. Det er et specifikt produkt til adgangsstyring i Oracle Fusion Middleware. Spørg din it-leverandør eller interne it-ansvarlige om Oracle Fusion Middleware er installeret i jeres miljø, og om Access Manager (OAM) indgår i opsætningen.
Kan angriberen komme ind uden at have et brugernavn og kodeord?
Nej — angriberen skal have en gyldig brugerkonto med lavt privilegieniveau (dvs. en normal bruger). Det behøver dog ikke at være en intern medarbejder. Hvis tidligere medarbejderes konti ikke er lukket, eller hvis en angriber har skaffet sig et login via phishing (svindel-e-mail) eller datalæk, er det tilstrækkeligt.
Hvad menes der med 'scope change' — at angrebet spreder sig?
Oracle Access Manager styrer adgang til mange andre systemer. Hvis en angriber overtager Access Manager, kan vedkommende potentielt bruge denne position til at få adgang til alle de systemer, der er tilknyttet adgangsstyringen. Det svarer til at stjæle nøglen til et nøgleskab med alle virksomhedens hovednøgler.
Vores it-drift er outsourcet — hvad gør vi?
Kontakt din it-driftsleverandør straks og spørg specifikt: ‘Er vi berørt af CVE-2026-35313 i Oracle Access Manager, og hvornår patcher I?’ Sørg for at få et konkret svar med en tidsplan. Det er leverandørens ansvar at sikre jeres systemer, men det er dit ansvar at følge op.
Kan vi beskytte os, mens vi venter på en opdatering?
Ja, delvist. Du kan bede din it-ansvarlige om at begrænse adgangen til Oracle Access Manager, så den ikke er tilgængelig direkte fra internettet — kun fra betroede netværk via en firewall. Det reducerer risikoen, men er ikke en permanent løsning. Opdateringen skal stadig installeres hurtigst muligt.
Hvordan ved vi om vi allerede er blevet angrebet?
Det er svært at se med det blotte øje. Din it-ansvarlige bør gennemgå systemlogfiler for usædvanlige aktiviteter som ukendte logins, ændringer i brugerrettigheder eller adgang uden for normal arbejdstid. Hvis du har mistanke om et angreb, bør du kontakte en cybersikkerhedsekspert med det samme.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Vulnerability in the Oracle Access Manager product of Oracle Fusion Middleware (component: Authentication Engine). Supported versions that are affected are 12.2.1.4.0 and 14.1.2.1.0. Easily exploitable vulnerability allows low privileged attacker with network access via HTTP to compromise Oracle Access Manager. While the vulnerability is in Oracle Access Manager, attacks may significantly impact additional products (scope change). Successful attacks of this vulnerability can result in takeover of Oracle Access Manager. CVSS 3.1 Base Score 9.9 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H).
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
