CVE-2026-45178: Kritisk fejl i Palo Alto Idira Secrets Manager
Fejl i Palo Alto Idira Secrets Manager giver angribere adgang til fortrolige hemmeligheder eller kan lamme systemet.
Hvad er det?
En sikkerhedsfejl i Palo Alto Networks’ Idira Secrets Manager (et program til at opbevare og styre adgangskoder, API-nøgler og andre følsomme oplysninger) betyder, at interne kommunikationskanaler i systemet ikke er ordentligt beskyttet. En angriber, der allerede har et legitimt brugernavn og adgangskode på et basalt niveau i systemet, kan misbruge disse kanaler til enten at hente fortrolige oplysninger, som vedkommende ikke burde have adgang til, eller til at forstyrre systemets drift (et såkaldt denial-of-service-angreb, hvor systemet overbelastes og holder op med at virke). Fejlen kræver ingen særlige tekniske færdigheder at udnytte.
Hvem rammer det?
Sårbarheden rammer virksomheder, der selv hoster (dvs. kører på egne servere) Palo Alto Networks Idira Secrets Manager i følgende versioner:
- Idira Secrets Manager: version 13.0 op til og med 13.8.0
- Idira Secrets Manager Credential Providers: version 14.0 op til og med 14.2.5
Bruger din virksomhed en cloud-hostet udgave eller en version uden for disse intervaller, er du sandsynligvis ikke berørt. Er du i tvivl, bør du tjekke din installerede version med det samme.
Hvad kan ske?
Hvis en angriber udnytter fejlen, kan to ting ske:
- Datatyveri: Angriberen kan hente fortrolige ‘hemmeligheder’ (secrets) fra systemet — det vil sige adgangskoder, API-nøgler, certifikater og andre følsomme oplysninger, som din virksomhed opbevarer i løsningen. Disse data kan bruges til at trænge videre ind i andre systemer.
- Driftsafbrydelse: Angriberen kan forstyrre eller lukke systemet ned, så medarbejdere og applikationer mister adgang til de oplysninger, de har brug for for at fungere.
Begge scenarier kan have alvorlige konsekvenser for din virksomheds drift og datasikkerhed.
Hvor alvorligt er det?
Sårbarheden er vurderet til 8,1 ud af 10 (Alvorlig) efter den internationale CVSS-standard. Det er en høj score, og det skyldes flere faktorer:
- Angrebet kan udføres over internettet — angriberen behøver ikke fysisk adgang.
- Det kræver kun et lavt niveau af adgang (standard brugernavn/adgangskode) — ikke administrator-rettigheder.
- Det kræver ingen hjælp fra dig eller dine medarbejdere for at lykkes.
- Konsekvenserne for fortrolighed og tilgængelighed er begge bedømt som høje.
Det eneste, der holder scoren fra at være endnu højere, er at angriberen skal have et gyldigt login i forvejen — men i systemer med mange brugere eller svage adgangskoder er dette ikke en stor forhindring.
Hvad gør jeg nu?
Følg disse trin for at beskytte din virksomhed hurtigst muligt:
- Tjek din version: Log ind i din Idira Secrets Manager og find versionsnummeret. Er du på version 13.8.0 eller lavere (i 13.x-serien) eller 14.2.5 eller lavere (i 14.x-serien), er du sårbar.
- Opdatér systemet: Opgrader til version 13.8.1 eller nyere (13.x-serien) henholdsvis 14.2.6 eller nyere (14.x-serien). Kontakt jeres leverandør eller IT-ansvarlige for hjælp hertil.
- Gennemgå adgange: Tjek hvem der har brugernavn og adgangskode til systemet. Fjern adgange til brugere, der ikke længere har brug for dem, og sørg for at alle adgangskoder er stærke og unikke.
- Overvåg systemlogge: Gennemgå logfiler (registreringer af systemaktivitet) for usædvanlig aktivitet i perioden frem til opdateringen er foretaget. Kontakt jeres IT-leverandør hvis I er usikre på hvordan.
- Begræns netværksadgang: Hvis muligt, sørg for at kun autoriserede systemer og brugere kan nå Idira Secrets Manager via netværket — fx via en firewall (et digitalt sikkerhedshegn).
Opdatér inden for 7 dage
Vi anbefaler, at du opdaterer Idira Secrets Manager til den seneste patchede version hurtigst muligt — helst inden for den næste uge. Fordi angrebet kun kræver et gyldigt login på lavt niveau, er truslen reel selv i virksomheder med relativt få brugere. Sørg desuden for at gennemgå, hvem der har adgang til systemet, og begræns adgangen til det absolut nødvendige. Kontakt os gerne, hvis I har brug for hjælp til opdateringen eller en vurdering af jeres eksponering.
Tidslinje
Konkrete eksempler
Tidligere medarbejder henter fortrolige API-nøgler
En tidligere IT-medarbejder har stadig et aktivt login i Idira Secrets Manager fra sin ansættelse. Via de ubeskyttede interne endepunkter (kommunikationskanaler) tilgår vedkommende systemet udefra og henter API-nøgler til virksomhedens regnskabsystem og cloud-lager. Med disse nøgler kan den tidligere medarbejder tilgå og downloade følsomme virksomhedsdata uden at det opdages med det samme.
Leverandør med begrænset adgang eskalerer sine rettigheder
En ekstern IT-leverandør har fået et lavt-privilegeret login til Idira Secrets Manager for at udføre en specifik opgave. Ved at udnytte den manglende adgangskontrol på interne klynge-endepunkter (servergruppe-kommunikation) kan leverandøren hente hemmeligheder, der tilhører andre systemer og afdelinger, som vedkommende aldrig burde have haft adgang til — herunder adgangskoder til virksomhedens e-mailserver og interne databaser.
Angriber lammer adgangen til forretningskritiske systemer
En angriber med et gyldigt lavt-niveau login sender gentagne, malformede forespørgsler (fejlformaterede anmodninger) mod de sårbare interne endepunkter i Idira Secrets Manager. Dette overbelaster systemet og forårsager et denial-of-service-angreb, der gør det umuligt for medarbejderne at hente de nødvendige adgangskoder og nøgler. Alle applikationer, der er afhængige af systemet, holder op med at fungere, og virksomhedens drift lammes i timevis.
Ofte stillede spørgsmål
Skal vi være bekymrede, hvis vi bruger cloud-udgaven af Idira Secrets Manager?
Nej, ikke umiddelbart. Sårbarheden er beskrevet som et problem i den selvhostede udgave (Self-Hosted), altså den version man kører på egne servere. Bruger du den cloud-baserede udgave leveret direkte af Palo Alto Networks, er du sandsynligvis ikke berørt — men det er altid en god idé at bekræfte dette med din leverandør.
En angriber skal jo have et login i forvejen — er det ikke et lille problem?
Det lyder beroligende, men det er desværre ikke nok til at ignorere problemet. I mange virksomheder er der tidligere ansatte, eksterne samarbejdspartnere eller serviceleverandører med gamle logins. Derudover kan svage adgangskoder gættes eller stjæles via phishing. Et lavt adgangsniveau er derfor ikke en tilstrækkelig sikkerhedsbarriere.
Hvad er en 'secret', og hvorfor er det farligt, hvis andre kan se dem?
En ‘secret’ (hemmelighed) er en følsom oplysning som en adgangskode, en API-nøgle (en digital adgangsnøgle til et system eller en tjeneste), et certifikat eller en krypteringsnøgle. Idira Secrets Manager er netop designet til at opbevare disse sikkert. Hvis en angriber får fat i dem, kan de bruge dem til at logge ind på andre systemer i din virksomhed, stjæle data eller forstyrre forretningsgange.
Hvad er et denial-of-service-angreb, og hvad betyder det for os?
Et denial-of-service-angreb (DoS) betyder, at angriberen overbelaster eller nedlukker et system, så det holder op med at virke. I dette tilfælde kan det betyde, at dine medarbejdere og forretningssystemer pludselig mister adgang til de adgangskoder og nøgler, de har brug for. Det kan lamme arbejdsgange og i værste fald stoppe produktionen, indtil systemet er genetableret.
Hvordan ved jeg, hvilken version vi kører?
Log ind i din Idira Secrets Manager-administration og find versionsnummeret under indstillinger eller systeminfo. Er du usikker, kan din IT-ansvarlige eller den leverandør, der har installeret systemet, hjælpe dig med at finde det. Du kan også kontakte os, så hjælper vi dig med at tjekke det.
Ramte produkter
Paloaltonetworks — Idira Secrets Manager
≥ 13.0, < 13.8.1
Paloaltonetworks — Idira Secrets Manager Credential Providers
≥ 14.0, < 14.2.6
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Idira Secrets Manager Self-Hosted versions 13.8.0 and lower exhibit improper access control within internal cluster endpoints. A remote, authenticated attacker possessing standard node-level credentials could leverage these endpoints to potentially retrieve unauthorized secrets or cause a denial of service (DoS). CyberArk Security Bulletin: CA26-20
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
