CVE-2026-46807: Kritisk sårbarhed i Oracle Identity Manager
Kritisk sårbarhed i Oracle Identity Manager lader angribere overtage systemet uden login – patch straks.
Hvad er det?
CVE-2026-46807 er en kritisk sårbarhed i Oracle Identity Manager, som er en del af Oracle Fusion Middleware. Sårbarheden findes i et ældre brugergrænsefladekomponent kaldet ‘OIM Legacy UI’. En angriber kan udnytte den via netværksprotokoller kaldet T3 og IIOP – begge er kommunikationskanaler som Oracle-systemer bruger til at tale sammen. Det farlige er, at angrebet kan gennemføres helt uden brugernavn eller adgangskode, og det kræver ingen hjælp fra dig eller dine medarbejdere. Resultatet kan være fuld overtagelse af Identity Manager-systemet.
Hvem rammer det?
Sårbarheden rammer virksomheder og organisationer, der kører Oracle Identity Manager version 12.2.1.4.0 eller 14.1.2.1.0 som en del af Oracle Fusion Middleware. Oracle Identity Manager bruges typisk til at styre medarbejderes adgang til systemer og applikationer – altså et centralt sikkerhedssystem. Hvis din virksomhed bruger Oracle-platforme til brugeradministration eller adgangsstyring, bør du straks undersøge, om I er berørt.
Hvad kan ske?
Hvis en angriber udnytter denne sårbarhed, kan de opnå fuld kontrol over Oracle Identity Manager. Det betyder i praksis:
- Adgang til alle følsomme brugerdata og identitetsoplysninger i systemet
- Mulighed for at oprette, ændre eller slette brugerkonti og adgangsrettigheder
- Potentielt adgang til alle de systemer, som Identity Manager styrer adgangen til
- Systemet kan gøres utilgængeligt, så medarbejdere mister adgang til kritiske applikationer
- Angribere kan skjule sig i systemet og bevæge sig videre til andre dele af virksomhedens IT-infrastruktur
Hvor alvorligt er det?
Denne sårbarhed har fået den højest mulige CVSS-score på 9.8 ud af 10, hvilket klassificeres som kritisk. Det skyldes en kombination af meget alvorlige faktorer: angrebet kan komme fra internettet, det er nemt at udføre, det kræver ingen forudgående adgang eller brugerinteraktion, og konsekvenserne rammer fuldt ud på alle tre sikkerhedsdimensioner – fortrolighed, integritet og tilgængelighed. Oracle Identity Manager er desuden et nøglesystem til adgangsstyring, så et kompromitteret system kan have dominoeffekt på resten af virksomhedens IT.
Hvad gør jeg nu?
Du bør handle hurtigt. Her er de trin, du skal tage:
- Find ud af om I bruger Oracle Identity Manager: Spørg din IT-ansvarlige eller IT-leverandør, om jeres systemer inkluderer Oracle Identity Manager version 12.2.1.4.0 eller 14.1.2.1.0.
- Begræns netværksadgang straks: Sørg for, at portene til T3 og IIOP (typisk port 7001 og 7002) ikke er tilgængelige fra internettet eller fra netværkssegmenter, de ikke behøver at nå. Din IT-ansvarlige kan hjælpe med dette.
- Installer Oracles sikkerhedsopdatering: Oracle har udsendt en patch (rettelse) som en del af deres Critical Patch Update. Få din IT-leverandør til at installere den hurtigst muligt.
- Gennemgå adgangslogfiler: Bed din IT-ansvarlige om at tjekke logfiler for mistænkelig aktivitet op til og efter opdateringen, så I kan opdage eventuelle angreb der allerede kan have fundet sted.
- Kontakt Auroa: Er du usikker på noget af ovenstående, så kontakt os – vi hjælper dig med at vurdere risikoen og gennemføre de nødvendige tiltag.
Patch inden for 24-72 timer
Auroa anbefaler, at du behandler denne sårbarhed som en akut hændelse. Oracle Identity Manager er hjertet i adgangsstyringen, og en kompromittering kan give angribere nøglerne til hele din IT-infrastruktur. Installer Oracles patch øjeblikkeligt, og blokér i mellemtiden ekstern adgang til de relevante netværksporte. Har du ikke interne ressourcer til at håndtere dette, så kontakt os – vi kan hjælpe med både vurdering, patch-implementering og efterfølgende gennemgang.
Tidslinje
Konkrete eksempler
Angriber overtager adgangsstyring udefra
En angriber scanner internettet efter Oracle-servere med åbne T3-porte og finder en virksomheds Oracle Identity Manager. Ved at sende en særligt udformet pakke via T3-protokollen uden brugernavn eller adgangskode opnår angriberen fuld kontrol over systemet. Angriberen opretter derefter en skjult administratorkonto og får adgang til alle de systemer, som Identity Manager styrer – herunder HR-systemer og interne applikationer.
Intern angriber eskalerer rettigheder
En medarbejder med begrænset IT-adgang – eller en angriber der allerede har fået fodfæste via et phishing-angreb – befinder sig på virksomhedens interne netværk. Via IIOP-protokollen sender vedkommende en skadelig kommando til Oracle Identity Manager og eskalerer sine rettigheder til fuld administrator. Herefter kan vedkommende tildele sig selv adgang til alle virksomhedens systemer uden at efterlade spor i de normale adgangslogfiler.
Ransomware-angreb via Identity Manager
En ransomware-gruppe udnytter sårbarheden til at overtage Oracle Identity Manager og mapper derefter alle de systemer, platformen har adgang til. Gruppen bruger de stjålne adgangsrettigheder til at sprede ransomware til virksomhedens filservere og backupsystemer. Fordi angrebet starter i adgangsstyringssystemet, kan angriberne systematisk låse alle medarbejdere ude, inden krypteringen begynder.
Ofte stillede spørgsmål
Hvad er Oracle Identity Manager, og bruger vi det?
Oracle Identity Manager er et system til at styre, hvem der har adgang til hvad i en virksomheds IT-miljø. Det bruges typisk i større organisationer med Oracle-baserede systemer. Spørg din IT-ansvarlige eller IT-leverandør, om I har dette system i jeres infrastruktur – det er ikke altid synligt for ikke-tekniske brugere.
Kan angribere udnytte sårbarheden fra internettet?
Ja, hvis systemet er tilgængeligt fra internettet, kan en angriber udnytte sårbarheden udefra uden at have adgang til jeres netværk i forvejen. Selv hvis systemet kun er tilgængeligt internt, udgør det en risiko, da en angriber der allerede er inde i netværket (f.eks. via phishing) kan eskalere angrebet.
Skal vi vente på, at vores IT-leverandør handler, eller kan vi selv gøre noget?
Patch-installationen skal gennemføres af en IT-kyndig person, men du kan selv tage initiativet ved at kontakte din IT-leverandør og bede dem prioritere dette. Du kan også bede dem om straks at blokere ekstern adgang til Oracle-portene som en midlertidig sikkerhedsforanstaltning, mens patchen forberedes.
Hvordan ved jeg, om vi allerede er blevet angrebet?
Det kan være svært at se med det blotte øje. Bed din IT-ansvarlige om at gennemgå systemlogfiler for usædvanlig aktivitet, ukendte brugere der er oprettet, eller ændringer i adgangsrettigheder. Mistænkelig aktivitet kan også inkludere uventede loginsforsøg på Oracle-systemet. Kontakt Auroa, hvis du har brug for hjælp til at vurdere situationen.
Hvad er T3 og IIOP, og hvorfor er de farlige her?
T3 og IIOP er tekniske netværksprotokoller (kommunikationssprog), som Oracle-systemer bruger til at udveksle data med hinanden. Problemet er, at angribere kan sende skadelige kommandoer via disse kanaler uden at skulle godkende sig først. Det er som at have en bagdør stående åben til et vigtigt rum i din virksomhed.
Påvirker det vores GDPR-forpligtelser, hvis vi er blevet angrebet?
Ja, potentielt. Oracle Identity Manager indeholder personoplysninger om medarbejdere og måske kunder. Hvis systemet er kompromitteret og data er tilgået eller lækket, kan det udgøre et brud på persondatasikkerheden, som du er forpligtet til at anmelde til Datatilsynet inden for 72 timer. Kontakt din databeskyttelsesrådgiver eller Auroa, hvis du er i tvivl.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Vulnerability in the Identity Manager product of Oracle Fusion Middleware (component: OIM Legacy UI). Supported versions that are affected are 12.2.1.4.0 and 14.1.2.1.0. Easily exploitable vulnerability allows unauthenticated attacker with network access via T3, IIOP to compromise Identity Manager. Successful attacks of this vulnerability can result in takeover of Identity Manager. CVSS 3.1 Base Score 9.8 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
