CVE-2026-45172: Sårbarhed i Palo Alto Idira PSMP SSH
Sårbarhed i Palo Alto Idira PSMP lader en almindelig bruger overtage hele serveren via SSH-sessioner.
Hvad er det?
CVE-2026-45172 er en sårbarhed i Palo Alto Networks Idira Privileged Session Manager for SSH (PSMP) — et produkt der bruges til at styre og overvåge privilegerede SSH-forbindelser (sikre fjernforbindelser til servere). Fejlen skyldes mangelfuld validering af brugerinput, hvilket betyder at programmet ikke tjekker grundigt nok, hvad brugerne sender ind. Det er klassificeret som CWE-78: OS Command Injection, altså at en angriber kan smugle skjulte systemkommandoer ind i programmet. Resultatet er, at en bruger med selv begrænsede rettigheder kan få programmet til at udføre vilkårlige kommandoer direkte på den server, PSMP kører på.
Hvem rammer det?
Sårbarheden rammer virksomheder der anvender Palo Alto Networks Idira Privileged Session Manager for SSH i én af følgende versioner:
- Version 14.0.x op til (men ikke inklusiv) 14.0.6
- Version 14.2.x op til (men ikke inklusiv) 14.2.5
- Version 14.6.x op til (men ikke inklusiv) 14.6.3
- Version 15.0.x op til (men ikke inklusiv) 15.0.2
Typisk vil det dreje sig om mellemstore og større virksomheder eller offentlige organisationer der bruger PSMP til at kontrollere privilegeret adgang til kritisk infrastruktur. Selv en medarbejder med minimale IT-rettigheder kan udnytte fejlen, hvilket gør den ekstra farlig i miljøer med mange brugere.
Hvad kan ske?
En angriber der allerede har en gyldig — men lavprivilegeret — brugerkonto i systemet, kan udnytte fejlen til at:
- Overtage PSMP-serveren fuldstændigt ved at køre vilkårlige kommandoer med serverens rettigheder
- Læse fortrolige data, herunder loginoplysninger, SSH-nøgler og sessionslogfiler for privilegerede konti
- Ændre eller slette data på serveren, fx manipulere med adgangsstyring eller logs
- Sprede sig videre i netværket ved at misbruge de privilegerede SSH-sessioner PSMP håndterer
Da produktet netop er designet til at beskytte privilegerede adgange, kan et kompromis have alvorlige kaskadeeffekter for hele it-infrastrukturen.
Hvor alvorligt er det?
Sårbarheden er vurderet til CVSS-score 8.8 (Alvorlig). Det er en høj score, og her er grunden:
- Netværksbaseret angreb: Angrebet kan udføres over netværket — angriberen behøver ikke fysisk adgang.
- Lav kompleksitet: Det kræver ingen særlig teknisk kunnen at udnytte fejlen.
- Lave krav til rettigheder: En almindelig, lav-privilegeret brugerkonto er nok — ingen admin-adgang nødvendig.
- Ingen brugerinteraktion: Offeret behøver ikke klikke på noget eller godkende noget.
- Fuld fortrolighed, integritet og tilgængelighed truet: Alle tre grundpiller i datasikkerhed er i fare.
Det eneste der holder scoren under 9.0 er, at angriberen skal have en gyldig brugerkonto i forvejen.
Hvad gør jeg nu?
Følg disse trin så hurtigt som muligt for at beskytte din virksomhed:
- Identificér din version: Log ind på dit PSMP-administrationspanel og tjek hvilken version I kører. Kontakt din IT-ansvarlige eller leverandør hvis du er i tvivl.
- Opdatér straks: Opgrader til en af de patchede versioner: 14.0.6, 14.2.5, 14.6.3 eller 15.0.2. Følg Palo Alto Networks’ egne vejledninger (CyberArk Security Bulletins CA26-17 og CA26-18).
- Gennemgå brugeradgange: Kontrollér hvem der har adgang til PSMP og fjern konti der ikke længere er nødvendige.
- Overvåg for mistænkelig aktivitet: Gennemse logfiler for usædvanlige kommandoer eller sessioner, særligt fra lav-privilegerede konti, tilbage til offentliggørelsesdatoen den 11. juni 2026.
- Isolér midlertidigt hvis opdatering ikke er mulig straks: Begræns netværksadgangen til PSMP-serveren til kun nødvendige IP-adresser indtil opdateringen kan gennemføres.
Opdatér inden for 24-72 timer
Hos Auroa anbefaler vi at I behandler denne sårbarhed som højt prioriteret og opdaterer PSMP inden for de næste 24-72 timer. Produktet sidder i hjertet af jeres privilegerede adgangsstyring, og et kompromis her kan give en angriber nøglerne til hele it-miljøet. Har I brug for hjælp til at vurdere jeres eksponering eller gennemføre opdateringen sikkert, er I velkomne til at kontakte os.
Tidslinje
Konkrete eksempler
Intern medarbejder eskalerer sine rettigheder
En medarbejder i virksomhedens IT-supportteam har adgang til PSMP for at overvåge SSH-sessioner, men ingen administrator-rettigheder. Ved at sende en særligt udformet kommando gennem PSMP-brugergrænsefladen udnytter medarbejderen CWE-78-fejlen og injicerer en skjult systemkommando. Kommandoen opretter en ny administratorkonto på PSMP-serveren, og medarbejderen har nu fuld kontrol over alle privilegerede SSH-sessioner i virksomheden.
Ekstern angriber via kompromitteret medarbejderkonto
En angriber har via phishing stjålet loginoplysningerne til en lavprivilegeret PSMP-brugerkonto hos en revisor. Angriberen logger ind udefra, udnytter sårbarheden til at køre kommandoer på PSMP-serveren og læser alle gemte SSH-nøgler og sessionslogs. Med disse nøgler kan angriberen logge direkte ind på virksomhedens produktionsservere uden at passere PSMP igen — og dermed omgå hele adgangskontrolsystemet.
Ransomware-angriber bruger PSMP som springbræt
En ransomware-gruppe har fået fodfæste i virksomhedens netværk via en inficeret e-mail. De finder en PSMP-server i netværket, logger ind med en stjålet lav-privilegeret konto og udnytter CVE-2026-45172 til at overtage PSMP-serveren. Derfra bruger de de privilegerede SSH-sessioner som allerede er åbne til at sprede sig til alle forbundne servere og kryptere data på tværs af hele infrastrukturen.
Ofte stillede spørgsmål
Skal man være administrator for at udnytte denne sårbarhed?
Nej — det er netop det der gør den farlig. En helt almindelig bruger med minimale rettigheder kan udnytte fejlen. Angriberen behøver blot en gyldig brugerkonto i systemet, ikke administrator- eller root-adgang.
Kan vi midlertidigt beskytte os uden at opdatere?
En delvis beskyttelse er mulig ved at begrænse netværksadgangen til PSMP-serveren, så kun autoriserede IP-adresser kan nå den. Men dette er ikke en permanent løsning — en opdatering er den eneste sikre afhjælpning. Kontakt din IT-leverandør for hjælp til at opsætte midlertidige netværksbegrænsninger.
Hvordan ved jeg om vi allerede er blevet angrebet?
Gennemgå PSMP’s systemlogfiler og sessionslogfiler for usædvanlige kommandoer, særligt fra konti med lave rettigheder. Kig efter kommandoer der ikke hører til den normale drift, eller sessioner på usædvanlige tidspunkter. Kontakt os gerne for hjælp til en log-gennemgang.
Vi bruger en gammel version af PSMP — er vi stadig sårbare?
Hvis I kører en version inden for de angivne rammer (14.0.x, 14.2.x, 14.6.x eller 15.0.x), ja, så er I sårbare. Versioner ældre end 14.0 er ikke eksplicit nævnt i CVE’en, men kan have andre kendte sårbarheder og bør under alle omstændigheder opdateres. Kontakt Palo Alto Networks support for at afklare jeres situation.
Påvirker dette andre Palo Alto Networks-produkter?
Ifølge de tilgængelige oplysninger er det specifikt Idira Privileged Session Manager for SSH (PSMP) der er ramt. Andre Palo Alto Networks-produkter som firewalls eller Prisma nævnes ikke i denne CVE. Hold dog øje med CyberArk Security Bulletins CA26-17 og CA26-18 for eventuelle opdateringer.
Er dette en fejl i SSH-protokollen selv?
Nej — selve SSH-protokollen er ikke fejlbehæftet. Fejlen ligger i den måde Idira PSMP-softwaren håndterer og validerer brugerinput. SSH er blot det kommunikationsprotokol (sikker fjernforbindelsesmetode) som produktet bygger på.
Ramte produkter
Paloaltonetworks — Idira Privileged Session Manager For Ssh
≥ 14.0, < 14.0.6
Paloaltonetworks — Idira Privileged Session Manager For Ssh
≥ 14.2, < 14.2.5
Paloaltonetworks — Idira Privileged Session Manager For Ssh
≥ 14.6, < 14.6.3
Paloaltonetworks — Idira Privileged Session Manager For Ssh
≥ 15.0, < 15.0.2
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Due to incomplete input validation in Idira Privileged Session Manager for SSH (PSMP) versions prior to 15.0.2, 14.6.3, 14.2.5, and 14.0.6, an authenticated, low-privileged user could potentially execute arbitrary commands on the PSMP host. CyberArk Security Bulletins: CA26-17 and CA26-18
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
