CVE-2026-46872: Kritisk fejl i Oracle Enterprise Manager
Kritisk sårbarhed i Oracle Enterprise Manager lader privilegerede angribere overtage systemet via netværket.
Hvad er det?
En kritisk sårbarhed er fundet i Oracle Enterprise Manager Base Platform — et administrationsværktøj, som virksomheder bruger til at overvåge og styre deres Oracle-databaser og IT-infrastruktur. Sårbarheden findes i installationskomponenten og betyder, at en angriber med administratoradgang (høje rettigheder) kan udnytte systemet via internettet (HTTPS) uden yderligere hjælp fra brugere. Angriberen kan ændre eller slette kritiske data, læse følsomme oplysninger og få systemet til at crashe eller gå i stå fuldstændigt. Det særligt alvorlige er, at angrebet kan sprede sig og påvirke andre systemer, der er forbundet til Oracle Enterprise Manager.
Hvem rammer det?
Sårbarheden rammer virksomheder og organisationer, der bruger Oracle Enterprise Manager Base Platform i version 13.5 eller 24.1. Det er typisk mellemstore til større virksomheder, der anvender Oracle-databaser som en central del af deres IT-drift — for eksempel til økonomi-, HR- eller produktionssystemer. Hvis du eller din IT-leverandør bruger Oracle Enterprise Manager til at administrere jeres databasemiljø, bør du handle nu.
Hvad kan ske?
Hvis en angriber udnytter denne sårbarhed, kan følgende ske:
- Datatab eller -manipulation: Angriberen kan oprette, ændre eller slette kritiske data i hele Oracle Enterprise Manager-miljøet.
- Datalæk: En delmængde af fortrolige data kan blive læst af uvedkommende.
- Systemnedbrud: Angriberen kan forårsage, at Oracle Enterprise Manager går i stå eller crasher gentagne gange — hvilket kan lamme jeres IT-drift.
- Spredning til andre systemer: Angrebet kan påvirke andre produkter og systemer, der er forbundet til Oracle Enterprise Manager.
Hvor alvorligt er det?
Sårbarheden er vurderet til en CVSS-score på 9.0 ud af 10, hvilket klassificeres som kritisk. Den er nem at udnytte (lav angrebskompleksitet) og kræver ingen interaktion fra brugere. Selvom angriberen skal have høje rettigheder (f.eks. en kompromitteret administratorkonto) for at udnytte den, er konsekvenserne alvorlige: høj påvirkning på både dataintegriteten og systemets tilgængelighed samt risiko for spredning til tilknyttede systemer. Det er Oracle selv, der har udgivet informationen som en del af deres kvartalsvise Critical Patch Update.
Hvad gør jeg nu?
Du bør handle hurtigt. Her er de konkrete trin du eller din IT-leverandør skal tage:
- Identificér versionen: Tjek om din virksomhed bruger Oracle Enterprise Manager Base Platform version 13.5 eller 24.1.
- Installer patch med det samme: Hent og installer den seneste sikkerhedsopdatering fra Oracles Critical Patch Update (CPU). Kontakt Oracle Support eller jeres IT-leverandør for hjælp.
- Gennemgå administratorkonti: Tjek hvem der har høje rettigheder (administratoradgang) til systemet, og fjern adgang for konti, der ikke har brug for det.
- Overvåg systemlogge: Kig efter usædvanlig aktivitet i logfilerne fra Oracle Enterprise Manager — særligt i installationskomponenten.
- Begræns netværksadgang: Sørg for, at adgang til Oracle Enterprise Manager via HTTPS kun er mulig fra betroede netværk og IP-adresser.
- Informér jeres IT-leverandør: Hvis I ikke selv administrerer systemet, skal I kontakte leverandøren og sikre, at de er bekendt med sårbarheden og opdaterer hurtigst muligt.
Opdatér inden for 72 timer
Vi anbefaler, at du kontakter din IT-leverandør i dag og beder om en bekræftelse på, at Oracle Enterprise Manager er opdateret med Oracles seneste Critical Patch Update. Sårbarheden er kritisk og nem at udnytte, hvis en angriber først har fået fat i en administratorkonto — og det sker desværre oftere end man tror via phishing eller genbrug af adgangskoder. Reducer også antallet af brugere med administratoradgang til et absolut minimum, og sørg for, at adgangen til systemet er begrænset til betroede netværk.
Tidslinje
Konkrete eksempler
Kompromitteret administratorkonto bruges til systemovertagelse
En angriber får fat i loginoplysningerne til en Oracle Enterprise Manager-administratorkonto via et phishing-angreb mod en medarbejder. Med denne adgang udnytter angriberen sårbarheden i installationskomponenten via HTTPS og får mulighed for at slette eller ændre konfigurationsdata for alle tilknyttede Oracle-systemer — herunder virksomhedens centrale økonomi- og HR-database. Virksomheden opdager det først, da systemet crasher og data er beskadiget.
Angriber forårsager målrettet driftsnedbrud
En konkurrent eller kriminel aktør med adgang til en administratorkonto (f.eks. købt på det mørke net fra et tidligere datalæk) udnytter sårbarheden til at sende gentagne forespørgsler, der får Oracle Enterprise Manager til at crashe — en såkaldt Denial-of-Service (DoS). Virksomheden oplever total driftsstop i timevis, fordi IT-infrastrukturen ikke kan administreres, mens fejlen undersøges og systemet genstartes.
Angreb spreder sig til tilknyttede produktionssystemer
En angriber udnytter sårbarheden og udnytter Oracle Enterprise Managers ‘scope change’-egenskab til at bevæge sig videre til andre systemer, som Oracle Enterprise Manager administrerer — f.eks. et produktions- eller lagerstyringssystem. Herved kan angriberen manipulere ordredata eller produktionsplaner, hvilket medfører både økonomisk tab og mulige GDPR-brud, hvis kundedata er involveret.
Ofte stillede spørgsmål
Skal jeg have administratoradgang for at udnytte denne sårbarhed?
Ja — angriberen skal have høje rettigheder, typisk en administratorkonto, for at udnytte sårbarheden. Det gør den lidt sværere at misbruge end sårbarheder uden krav til rettigheder. Til gengæld er konsekvenserne meget alvorlige, når først adgangen er opnået. Det understreger vigtigheden af at beskytte jeres administratorkonti med stærke adgangskoder og to-faktor-godkendelse (2FA).
Er det kun Oracle-databaser, der er i fare?
Sårbarheden er i Oracle Enterprise Manager Base Platform, som er administrationsværktøjet — ikke selve databasen. Men fordi angrebet kan sprede sig til andre tilknyttede systemer (det kaldes ‘scope change’), kan det i praksis påvirke alle systemer og data, som Oracle Enterprise Manager har adgang til at administrere.
Hvad er Oracle Critical Patch Update (CPU)?
Oracle udgiver fire gange om året en samlet pakke af sikkerhedsopdateringer kaldet Critical Patch Update (CPU). Det svarer til Microsofts ‘Patch Tuesday’. Opdateringerne retter kendte sårbarheder på tværs af Oracles produkter. Du eller jeres IT-leverandør bør altid installere disse opdateringer så hurtigt som muligt efter udgivelse.
Vi bruger Oracle via en ekstern leverandør — er vi stadig i fare?
Ja, potentielt. Spørg jeres leverandør, om de bruger Oracle Enterprise Manager Base Platform til at administrere jeres miljø, og om de har installeret den seneste sikkerhedsopdatering. I bør have en skriftlig bekræftelse på dette. Det er et rimeligt og vigtigt krav at stille til enhver IT-leverandør.
Hvad er konsekvensen, hvis vi ikke opdaterer?
Hvis I ikke opdaterer, risikerer I, at en angriber med adgang til en administratorkonto kan slette eller manipulere jeres data, forårsage systemnedbrud og potentielt sprede angrebet til andre systemer. For en virksomhed kan det betyde driftstop, tab af forretningskritiske data og i værste fald brud på GDPR-reglerne, hvis persondata kompromitteres.
Kan vi gøre noget, mens vi venter på at patche?
Ja. Som midlertidig foranstaltning kan I begrænse netværksadgangen til Oracle Enterprise Manager, så kun betroede IP-adresser og interne netværk har adgang via HTTPS. I bør også gennemgå, hvem der har administratorrettigheder, og fjerne adgang fra konti, der ikke har behov for det. Dette reducerer risikoen, men erstatter ikke en opdatering.
Ramte produkter
Oracle — Enterprise Manager Base Platform
13.5.0.0
Oracle — Enterprise Manager Base Platform
24.1.0.0.0
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Vulnerability in the Oracle Enterprise Manager Base Platform product of Oracle Enterprise Manager (component: Install). Supported versions that are affected are 13.5 and 24.1. Easily exploitable vulnerability allows high privileged attacker with network access via HTTPS to compromise Oracle Enterprise Manager Base Platform. While the vulnerability is in Oracle Enterprise Manager Base Platform, attacks may significantly impact additional products (scope change). Successful attacks of this vulnerability can result in unauthorized creation, deletion or modification access to critical data or all Oracle Enterprise Manager Base Platform accessible data as well as unauthorized read access to a subset of Oracle Enterprise Manager Base Platform accessible data and unauthorized ability to cause a hang or frequently repeatable crash (complete DOS) of Oracle Enterprise Manager Base Platform. CVSS 3.1 Base Score 9.0 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:H/A:H).
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
