CVE-2026-46774: Kritisk fejl i Oracle Unified Directory
Kritisk fejl i Oracle Unified Directory giver angribere fuld kontrol uden login – opdater straks.
Hvad er det?
Oracle Unified Directory er et katalogprodukt (en slags central bruger- og adgangsdatabase) der bruges til at styre login og identiteter i virksomheder. Denne sårbarhed findes i kernekomponenten og udnyttes via RMI (Remote Method Invocation – en teknologi der lader programmer kommunikere over netværket). En angriber kan uden brugernavn eller adgangskode sende specielle kommandoer over netværket og overtage hele systemet. Fejlen er nem at udnytte og kræver ingen hjælp fra brugere i virksomheden.
Hvem rammer det?
Sårbarheden rammer virksomheder der kører Oracle Unified Directory version 12.2.1.4.0 eller 14.1.2.1.0 som en del af Oracle Fusion Middleware. Det er typisk mellemstore og større virksomheder med Oracle-baserede IT-systemer til brugeradministration, identitetsstyring eller Single Sign-On (ét login til mange systemer). Hvis din virksomhed bruger Oracle til at styre medarbejdernes adgange, bør du undersøge om I er berørt.
Hvad kan ske?
Hvis en angriber udnytter fejlen, kan vedkommende overtage Oracle Unified Directory fuldstændigt. Det betyder i praksis:
- Fortrolighed: Angriberen kan læse alle brugerdata, adgangskoder og organisationsdata i kataloget.
- Integritet: Angriberen kan ændre brugerrettigheder, oprette nye administratorkonti eller slette eksisterende brugere.
- Tilgængelighed: Angriberen kan lukke systemet ned, så medarbejdere ikke kan logge ind på virksomhedens systemer.
Et kompromitteret brugerkatalog kan give adgang til mange andre systemer i virksomheden på én gang.
Hvor alvorligt er det?
CVSS-scoren er 9.8 ud af 10 – kritisk. Det er den næsthøjeste mulige score. Sårbarhedens profil er særligt bekymrende fordi:
- Den kan angribes direkte over internettet (netværksbaseret angreb).
- Den kræver ingen login eller særlige rettigheder.
- Den kræver ingen handling fra dine medarbejdere.
- Angrebet er let at udføre (lav kompleksitet).
- Konsekvenserne er maksimale for alle tre sikkerhedsdimensioner: fortrolighed, integritet og tilgængelighed.
Hvad gør jeg nu?
Hvis din virksomhed bruger Oracle Unified Directory, bør du handle hurtigt. Følg disse trin:
- Identificér om I er berørt: Kontakt din IT-leverandør eller IT-ansvarlige og spørg om I kører Oracle Unified Directory version 12.2.1.4.0 eller 14.1.2.1.0.
- Begræns adgangen straks: Bloker ekstern adgang til RMI-porten (typisk port 1099 eller konfigurerede Oracle-porte) i firewallen, indtil opdateringen er installeret.
- Installer Oracles sikkerhedsopdatering: Følg Oracles Critical Patch Update (CPU) vejledning og opdater til den patchede version hurtigst muligt.
- Gennemgå adgangslogge: Bed din IT-ansvarlige om at tjekke logfiler for usædvanlig aktivitet på RMI-porten siden 17. juni 2026.
- Orientér ledelsen: Sørg for at relevante beslutningstagere er informeret om risikoen og den igangværende håndtering.
Opdater inden for 24-48 timer
Med en CVSS-score på 9.8 og en angrebsprofil der ikke kræver hverken login eller brugerinteraktion, er dette en af de mest alvorlige typer sårbarheder. Vi anbefaler at du straks begrænser netværksadgangen til den berørte tjeneste via firewall, og at din IT-leverandør installerer Oracles seneste sikkerhedsopdatering inden for 48 timer. Vent ikke på næste planlagte vedligeholdsvindue – denne fejl er for kritisk til at udsætte.
Tidslinje
Konkrete eksempler
Angriber overtager brugerkataloget udefra
En angriber scanner internettet efter systemer med åbne Oracle RMI-porte og finder jeres Oracle Unified Directory. Uden brugernavn eller adgangskode sender angriberen en ondsindet RMI-kommando og opnår fuld kontrol over kataloget. Angriberen opretter en skjult administratorkonto og har fra nu af uhindret adgang til alle systemer der bruger Oracle Unified Directory til login.
Datatyveri af alle medarbejderkonti
Via den uautentificerede RMI-adgang eksporterer en angriber hele brugerkataloget, inklusiv navne, e-mailadresser, organisationsdata og hashede adgangskoder. Dataene sælges på det mørke net eller bruges til målrettede phishing-angreb mod jeres medarbejdere og kunder. Dette kan udløse en GDPR-brudanmeldelse til Datatilsynet inden for 72 timer.
Ransomware via kompromitteret identitetssystem
En angriber udnytter sårbarheden til at få fodfæste i jeres Oracle-miljø og bevæger sig videre til andre systemer der er koblet til brugerkataloget. Ved at eskalere rettigheder og sprede sig i netværket installerer angriberen ransomware på kritiske servere. Hele virksomheden oplever nedetid, og angriberen kræver løsesum for at genoprette adgangen.
Ofte stillede spørgsmål
Bruger vi Oracle Unified Directory – hvordan finder vi ud af det?
Spørg din IT-ansvarlige eller IT-leverandør om I har Oracle Fusion Middleware installeret, og om det inkluderer Oracle Unified Directory (OUD). Det bruges typisk til centraliseret brugeradministration og Single Sign-On i Oracle-miljøer. Hvis I ikke bruger Oracle-produkter til brugerstyring, er I sandsynligvis ikke berørt.
Hvad er RMI, og hvorfor er det farligt her?
RMI (Remote Method Invocation) er en teknologi der gør det muligt for programmer at kommunikere med hinanden over et netværk. I dette tilfælde er RMI-grænsefladen i Oracle Unified Directory ikke tilstrækkeligt sikret, så en angriber udefra kan sende kommandoer direkte til systemet uden at skulle bevise sin identitet. Det svarer til at have en hoveddør der åbner for alle uden nøgle.
Kan vi bare blokere porten i firewallen og vente med at opdatere?
Det er et godt midlertidigt skridt at blokere RMI-porten eksternt, men det er ikke en permanent løsning. Interne trusler eller et allerede kompromitteret system inde på netværket kan stadig udnytte fejlen. Oracles sikkerhedsopdatering er den eneste rigtige løsning og bør installeres hurtigst muligt.
Hvad sker der hvis vi ikke gør noget?
Hvis sårbarheden ikke lukkes, risikerer I at en angriber overtager jeres brugerkatalog fuldstændigt. Det kan betyde at medarbejdernes login-oplysninger kompromitteres, at angriberen får adgang til alle systemer der er koblet til Oracle Unified Directory, og at I potentielt bryder GDPR-regler om beskyttelse af persondata – med bødestraf til følge.
Er der tegn på at sårbarheden allerede bliver udnyttet aktivt?
CVE’en blev offentliggjort den 17. juni 2026 som del af Oracles Critical Patch Update. Med en angrebsprofil der er så enkel og alvorlig, er det alment kendt i sikkerhedsmiljøet at sådanne sårbarheder hurtigt bliver scannet efter og udnyttet. Vi anbefaler at behandle den som aktivt truende og handle derefter.
Kræver det specialister at installere opdateringen?
Ja, opdatering af Oracle Fusion Middleware-komponenter kræver typisk en Oracle-certificeret tekniker eller en erfaren IT-leverandør. Forsøg ikke selv at patche systemet uden den nødvendige ekspertise, da en forkert opdatering kan forårsage nedetid. Kontakt jeres Oracle-partner eller en IT-sikkerhedsleverandør hurtigst muligt.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Vulnerability in the Oracle Unified Directory product of Oracle Fusion Middleware (component: OUD Core). Supported versions that are affected are 12.2.1.4.0 and 14.1.2.1.0. Easily exploitable vulnerability allows unauthenticated attacker with network access via RMI to compromise Oracle Unified Directory. Successful attacks of this vulnerability can result in takeover of Oracle Unified Directory. CVSS 3.1 Base Score 9.8 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
