CVE-2026-46832: Kritisk fejl i Oracle Enterprise Manager
Kritisk fejl i Oracle Enterprise Manager lader angribere med blot en brugerkonto overtage hele systemet via internettet.
Hvad er det?
CVE-2026-46832 er en kritisk sikkerhedssårbarhed i Oracle Enterprise Manager Base Platform — et administrationsværktøj, der bruges til at overvåge og styre Oracle-databaser og IT-infrastruktur. Fejlen sidder i en del af systemet kaldet Discovery Framework, som håndterer opdagelse af nye systemer og ressourcer. En angriber, der har en helt almindelig brugerkonto i systemet, kan udnytte fejlen via en normal HTTPS-forbindelse (samme kryptering som netbankens) uden at kræve yderligere rettigheder eller hjælp fra brugere. Resultatet er fuld overtagelse af platformen.
Hvem rammer det?
Sårbarheden rammer virksomheder og organisationer, der bruger Oracle Enterprise Manager Base Platform i version 13.5 eller 24.1. Det drejer sig typisk om mellemstore og større virksomheder, der anvender Oracle-databaser til at drive forretningskritiske systemer — eksempelvis økonomi, ERP (virksomhedsstyringssystemer), HR eller logistik. Hvis din IT-afdeling eller en ekstern leverandør har Oracle Enterprise Manager installeret og tilgængeligt via netværket, er I potentielt berørt.
Hvad kan ske?
En angriber med blot en lav-privilegeret brugerkonto — for eksempel en stjålet medarbejderadgangskode — kan overtage hele Oracle Enterprise Manager-platformen. Det betyder i praksis:
- Fuld adgang til data: Angriberen kan læse, kopiere eller slette alle data, som systemet administrerer — herunder databaser med kundeoplysninger, økonomidata og forretningshemmeligheder.
- Ændring af systemer: Angriberen kan ændre konfigurationer, oprette nye konti eller manipulere driften af jeres Oracle-miljø.
- Nedbrud: Kritiske systemer kan gøres utilgængelige, hvilket kan lamme forretningsdriften.
- Spredning til andre systemer: Fordi sårbarheden medfører et såkaldt scope change, kan angrebet brede sig til andre produkter og systemer, der er forbundet til Oracle Enterprise Manager.
Hvor alvorligt er det?
Denne sårbarhed er vurderet til 9,9 ud af 10 på CVSS-skalaen — det er ekstremt alvorligt og klassificeres som kritisk. Kun meget få sårbarheder scorer højere. Det skyldes en kombination af faktorer: angrebet kræver blot en lavprivilegeret brugerkonto, det kan udføres over internettet, det kræver ingen interaktion fra ofre, og det medfører fuld overtagelse af systemet samt potentiel spredning til tilknyttede systemer. Der er reelt ingen tekniske hindringer for en angriber, der har adgang til systemet.
Hvad gør jeg nu?
Har du Oracle Enterprise Manager Base Platform installeret, bør du handle hurtigt. Her er hvad du konkret skal gøre:
- Kontakt din Oracle-leverandør eller IT-ansvarlige i dag og spørg specifikt, om I kører version 13.5 eller 24.1 af Oracle Enterprise Manager Base Platform.
- Installer Oracles sikkerhedsopdatering så hurtigt som muligt. Oracle udgiver patches via deres Critical Patch Update (CPU)-program — bed din IT-leverandør om at prioritere dette.
- Begræns adgang til systemet midlertidigt: Luk for adgang fra internettet til Oracle Enterprise Manager, hvis det ikke er strengt nødvendigt, og kræv VPN-adgang (krypteret fjernforbindelse) for alle brugere.
- Gennemgå brugerkonti: Deaktivér inaktive eller unødvendige konti i systemet, da en hvilken som helst brugerkonto kan bruges til angrebet.
- Overvåg for mistænkelig aktivitet i systemet — bed din IT-leverandør om at tjekke logfiler for usædvanlig adfærd de seneste uger.
Patch nu — kritisk alvorlighed
Med en CVSS-score på 9,9 og muligheden for fuld systemovertagelse via blot en brugerkonto anbefaler vi, at du behandler dette som en akut hændelse. Kontakt din IT-ansvarlige eller -leverandør i dag og sørg for, at opdateringen installeres inden for de næste 24-72 timer. Overvej at begrænse adgangen til Oracle Enterprise Manager til kun interne netværk eller via VPN, indtil patchen er på plads. Denne type sårbarhed er præcis, hvad angribere aktivt leder efter, fordi den er let at udnytte og giver stor kontrol.
Tidslinje
Konkrete eksempler
Stjålet medarbejderadgangskode giver fuld kontrol
En angriber sender en phishing-mail til en medarbejder hos en mellemstor produktionsvirksomhed og opsnapper brugerens Oracle Enterprise Manager-adgangskode. Med denne enkle, lavprivilegerede konto logger angriberen ind via systemets HTTPS-adgang, udnytter CVE-2026-46832 i Discovery Framework og opnår fuld administratorkontrol. Derfra kan angriberen tilgå og kopiere virksomhedens produktionsdatabase med kundeordrer og leverandøraftaler uden at efterlade tydelige spor.
Tidligere IT-leverandør udnytter gammel konto
En tidligere ekstern IT-leverandør har stadig en aktiv brugerkonto i Oracle Enterprise Manager, som aldrig blev deaktiveret efter samarbejdets ophør. Leverandørens medarbejder — eller en tredjepart, der har fået adgang til kontoen — udnytter sårbarheden via internettet, overtager platformen og installerer ransomware (software der krypterer data og kræver løsesum) på de tilknyttede databaseservere. Virksomheden opdager det først, da systemer begynder at svigte næste morgen.
Angreb spreder sig fra Oracle til resten af netværket
En angriber kompromitterer Oracle Enterprise Manager via CVE-2026-46832 hos en handelsvirksomhed. Fordi sårbarheden medfører scope change, bruger angriberen den fulde adgang til Enterprise Manager som springbræt til at bevæge sig videre til de underliggende Oracle-databaser og derfra til virksomhedens øvrige interne netværk. Angrebet, der startede med én brugerkonto, ender med at kompromittere hele IT-infrastrukturen inklusiv lønsystem og kundedatabase.
Ofte stillede spørgsmål
Hvad er Oracle Enterprise Manager, og ved jeg om vi bruger det?
Oracle Enterprise Manager er et administrationsværktøj, der bruges til at overvåge og styre Oracle-databaser og IT-infrastruktur. Det bruges primært i virksomheder med Oracle-databaser bag fx økonomi- eller ERP-systemer. Spørg din IT-afdeling eller -leverandør direkte, om I har dette installeret — de kan tjekke det hurtigt.
Behøver angriberen at kende vores systemer på forhånd?
Nej, ikke nødvendigvis. En angriber behøver blot en gyldig brugerkonto og netværksadgang til systemet via HTTPS. Det betyder, at selv en tidligere medarbejder med en gammel konto eller nogen, der har fået fat i en adgangskode via phishing, potentielt kan udnytte fejlen.
Er vi sikre, hvis vi har en firewall?
En firewall hjælper, hvis den blokerer ekstern adgang til Oracle Enterprise Manager. Men hvis systemet er tilgængeligt fra internettet — eller fra dele af netværket, som leverandører eller partnere har adgang til — er en firewall alene ikke tilstrækkelig beskyttelse. Patching er den eneste holdbare løsning.
Hvornår forventes en patch at være tilgængelig?
Oracle har udsendt en sikkerhedsopdatering som del af deres Critical Patch Update-program. Opdateringen bør være tilgængelig nu via Oracles supportportal. Bed din IT-leverandør om at downloade og installere den hurtigst muligt.
Kan vi se, om vi allerede er blevet angrebet?
Det er muligt at lede efter tegn på kompromittering i systemets logfiler — eksempelvis usædvanlige logins, oprettelse af nye konti eller uventede konfigurationsændringer. Din IT-leverandør kan hjælpe med denne gennemgang. Hvis I mistænker et angreb, bør I kontakte en cybersikkerhedsekspert med det samme.
Hvad betyder 'scope change' i denne sammenhæng?
Scope change betyder, at et vellykket angreb ikke kun påvirker Oracle Enterprise Manager selv, men kan sprede sig til andre systemer og produkter, som er forbundet til det. Det gør sårbarheden endnu mere farlig, fordi en angriber potentielt kan bevæge sig videre til eksempelvis databaser, applikationsservere eller andre dele af jeres IT-miljø.
Ramte produkter
Oracle — Enterprise Manager Base Platform
13.5.0.0
Oracle — Enterprise Manager Base Platform
24.1.0.0.0
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Vulnerability in the Oracle Enterprise Manager Base Platform product of Oracle Enterprise Manager (component: Discovery Framework). Supported versions that are affected are 13.5 and 24.1. Easily exploitable vulnerability allows low privileged attacker with network access via HTTPS to compromise Oracle Enterprise Manager Base Platform. While the vulnerability is in Oracle Enterprise Manager Base Platform, attacks may significantly impact additional products (scope change). Successful attacks of this vulnerability can result in takeover of Oracle Enterprise Manager Base Platform. CVSS 3.1 Base Score 9.9 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H).
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
