CVE-2026-45170: CyberArk Idira Connector TLS-fejl
Fejl i TLS-certifikatvalidering i CyberArk Idira Connector kan give angribere adgang til privilegerede konti på dit netværk.
Hvad er det?
CVE-2026-45170 er en sårbarhed i CyberArk Idira Privilege Cloud Connector – et stykke software der håndterer adgang til privilegerede konti (fx administratorkonti) i din virksomhed. Fejlen betyder, at softwaren under visse omstændigheder ikke kontrollerer TLS-certifikater ordentligt. TLS-certifikater er digitale ID-kort, der bruges til at sikre, at to systemer faktisk taler med hinanden – og ikke med en ondsindet mellemmand. Når denne kontrol svigter, kan en angriber udgive sig for at være et betroet system og aflytte eller manipulere kommunikationen.
Hvem rammer det?
Sårbarheden rammer virksomheder der bruger Palo Alto Networks / CyberArk Idira Privilege Cloud Connector i version 1.1.0 op til (men ikke inklusiv) version 1.1.100504. Det gælder særligt organisationer der bruger løsningen til at styre adgangen til privilegerede konti – typisk IT-afdelinger, managed service providers (MSP’er) og virksomheder med strenge adgangsstyringskrav. Angriberen skal befinde sig på det samme lokale netværk (eller et tilknyttet netværkssegment) som den berørte connector.
Hvad kan ske?
En angriber der befinder sig på dit netværk kan udføre et såkaldt man-in-the-middle-angreb (dvs. placere sig usynligt mellem to systemer der kommunikerer). Det kan føre til:
- Aflytning af følsomme oplysninger – herunder loginoplysninger til administratorkonti.
- Manipulation af data – angriberen kan ændre de kommandoer eller svar der sendes frem og tilbage.
- Fuld kontrol over privilegerede konti – med adgang til administratorkonti kan en angriber bevæge sig frit rundt i hele din it-infrastruktur.
Konsekvenserne for fortrolighed, integritet og tilgængelighed er alle vurderet som høje.
Hvor alvorligt er det?
Sårbarheden er vurderet til CVSS 8.8 ud af 10 – Alvorlig. Den kræver ingen forudgående adgangskode eller brugerkonto for at udnyttes, og der kræves ingen handling fra din side som bruger. Den eneste begrænsning er, at angriberen skal have adgang til dit lokale netværk eller et tilknyttet netværkssegment. I praksis betyder det, at truslen er størst fra interne aktører, kompromitterede enheder på netværket eller angribere der allerede har fået fodfæste et sted i din infrastruktur.
Hvad gør jeg nu?
Følg disse trin så hurtigt som muligt for at beskytte din virksomhed:
- Tjek din version: Log ind på din Idira Privilege Cloud Connector og find versionsnummeret. Er du på version 1.1.0 til 1.1.100503, er du sårbar.
- Opdater straks: Opgrader til version 1.1.100504 eller nyere. Opdateringen er tilgængelig fra CyberArk/Palo Alto Networks via deres officielle supportkanal og sikkerhedsbulletin CA26-17.
- Begræns netværksadgang: Indtil opdateringen er installeret, bør du sikre, at kun betroede og nødvendige systemer har adgang til det netværkssegment hvor connectoren kører.
- Gennemgå adgangslogge: Tjek logfiler for usædvanlig aktivitet mod Idira Connector, særligt uventede forbindelser eller autentificeringsforsøg.
- Kontakt din IT-leverandør: Hvis du ikke selv administrerer løsningen, skal du kontakte din IT-partner og bede dem bekræfte, at opdateringen er foretaget.
Opdatér inden for 72 timer
Vi anbefaler, at du opdaterer Idira Privilege Cloud Connector til version 1.1.100504 hurtigst muligt – helst inden for 72 timer. Sørg samtidig for at gennemgå adgangslogge for tegn på unormal aktivitet. Privilegerede konti er nøglerne til din it-infrastruktur, og en kompromittering her kan have vidtrækkende konsekvenser for hele din virksomhed. Kontakt Auroa hvis du er usikker på, om du er berørt, eller har brug for hjælp til opdateringen.
Tidslinje
Konkrete eksempler
Intern angriber aflytter administratoradgangskoder
En utilfreds medarbejder med adgang til virksomhedens interne netværk placerer et ondsindet program på sin computer, der udgiver sig for at være et betroet system i kommunikationen med Idira Connectoren. Fordi TLS-certifikater ikke valideres korrekt, accepterer connectoren forbindelsen. Angriberen kan nu aflytte de loginoplysninger til administratorkonti der sendes frem og tilbage – og bruge dem til at tilgå kritiske systemer uden at blive opdaget.
Kompromitteret leverandøradgang udnyttes til netværksangreb
En ekstern IT-leverandør med fjernadgang til virksomhedens netværk bliver selv hacket. Angriberen bruger leverandørens VPN-adgang til at komme ind på netværkssegmentet hvor Idira Connectoren kører. Herfra udnytter angriberen certifikatfejlen til at opsnappe kommunikation mellem connectoren og CyberArk cloud-tjenesten, og opnår derved adgang til privilegerede konti i kundens miljø.
Ransomware-angreb via kompromitteret administratorkonto
En angriber der allerede har fået adgang til ét system på netværket – fx via en phishing-mail – bruger CVE-2026-45170 til at eskalere sine rettigheder ved at stjæle legitimationsoplysninger til en administratorkonto via Idira Connectoren. Med administratorrettigheder kan angriberen deaktivere sikkerhedssoftware, kryptere filer på tværs af hele virksomhedens filserver og kræve løsesum for at gendanne adgangen.
Ofte stillede spørgsmål
Hvad er TLS-certifikatvalidering, og hvorfor er det vigtigt?
TLS-certifikater fungerer som digitale ID-kort, der bekræfter identiteten på de systemer der kommunikerer med hinanden. Når validering ikke sker korrekt, kan en angriber udgive sig for at være et betroet system – ligesom en falsk bankrådgiver der ringer og udgiver sig for at være fra din rigtige bank. I dette tilfælde kan det betyde, at angriberen kan aflytte eller manipulere kommunikation til og fra din adgangsstyringsløsning.
Skal angriberen have fysisk adgang til vores kontor for at udnytte sårbarheden?
Ikke nødvendigvis fysisk adgang, men angriberen skal befinde sig på det samme netværkssegment som connectoren – det kan fx være en kompromitteret computer internt i virksomheden, en enhed på samme Wi-Fi eller et andet system der allerede er blevet hacket. Det gør truslen mest relevant i tilfælde af interne trusler eller netværk der allerede er delvist kompromitteret.
Kan vi bruge en midlertidig løsning mens vi venter på at opdatere?
Ja, som en midlertidig foranstaltning bør du segmentere dit netværk så kun autoriserede systemer kan nå connectoren, og overvåge trafik til og fra den aktivt. Men dette er ikke en erstatning for opdateringen – det reducerer blot risikoen midlertidigt. Opdateringen til version 1.1.100504 er den eneste rigtige løsning.
Hvordan ved jeg om vi allerede er blevet angrebet?
Gennemgå logfilerne fra Idira Privilege Cloud Connector og din netværksinfrastruktur for usædvanlige forbindelser, uventede autentificeringsforsøg eller ændringer i konfigurationer. Hvis du ser aktivitet du ikke kan forklare, bør du straks kontakte din IT-sikkerhedsrådgiver. Et man-in-the-middle-angreb kan være svært at opdage uden de rette overvågningsværktøjer.
Gælder sårbarheden alle konfigurationer af Idira Connector?
Ifølge CyberArks egen sikkerhedsbulletin (CA26-17) opstår problemet kun under specifikke konfigurationsscenarier. Det er dog ikke præciseret hvilke konfigurationer der er berørt, og derfor anbefaler vi, at alle der kører en version under 1.1.100504 behandler sig selv som sårbare og opdaterer – fremfor at forsøge at afgøre om netop deres konfiguration er berørt.
Ramte produkter
Paloaltonetworks — Idira Privilege Cloud Connector
≥ 1.1.0, < 1.1.100504
CVSS-detaljer
CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Idira Vendor PAM – Self-Hosted Connector versions prior 1.1.100504 under specific conditions and configuration scenarios, TLS certificate validation may not be fully enforced. CyberArk Security Bulletin: CA26-17
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
