CVE-2026-46875: Kritisk fejl i Oracle Enterprise Manager
Kritisk sårbarhed i Oracle Enterprise Manager giver angribere fuld kontrol over dit overvågningssystem og tilknyttede systemer.
Hvad er det?
CVE-2026-46875 er en kritisk sårbarhed i Oracle Enterprise Manager Base Platform — et værktøj, som mange virksomheder bruger til at overvåge og styre deres IT-infrastruktur. Sårbarheden sidder i en komponent kaldet Deployment Library, som håndterer udrulning af software og konfigurationer.
En angriber med adgang til en administratorkonto kan udnytte sårbarheden via internettet uden særlig teknisk kunnen og uden at brugeren behøver gøre noget. Resultatet er fuld overtagelse af systemet — og potentielt alle de systemer, Enterprise Manager administrerer.
Hvem rammer det?
Sårbarheden rammer virksomheder, der bruger følgende versioner af Oracle Enterprise Manager Base Platform:
- Version 13.5.0.0
- Version 24.1.0.0.0
Typisk er det mellemstore og større virksomheder med Oracle-baserede driftsmiljøer, der anvender dette produkt. Hvis din virksomhed bruger Oracle-databaser eller Oracle Cloud-løsninger, og nogen administrerer disse via Enterprise Manager, er du potentielt i risikogruppen. Kontakt din IT-leverandør, hvis du er i tvivl om, hvilken version I kører.
Hvad kan ske?
Hvis en angriber udnytter denne sårbarhed, kan konsekvenserne være alvorlige:
- Fuld systemovertagelse: Angriberen kan overtage hele Oracle Enterprise Manager-platformen og agere som administrator.
- Spredning til andre systemer: Fordi sårbarheden medfører et såkaldt scope change (scopeændring), kan angrebet sprede sig til andre systemer og databaser, som Enterprise Manager administrerer.
- Datatyveri: Alle data, som systemet har adgang til, kan læses og kopieres.
- Sabotage og driftsforstyrrelse: Angriberen kan ændre konfigurationer, slette data eller lukke systemer ned.
Hvor alvorligt er det?
Oracle har tildelt denne sårbarhed en CVSS-score på 9,1 ud af 10 — kritisk. Det er en meget høj score, som afspejler, at angrebet kan gennemføres via netværket uden brugerinteraktion, og at konsekvenserne rammer fortrolighed, integritet og tilgængelighed fuldt ud.
Det eneste, der holder scoren fra at være maksimal (10,0), er kravet om, at angriberen allerede har adgang til en konto med høje rettigheder (f.eks. en administratorkonto). Selvom det lyder som en begrænsning, er det en reel risiko — kompromitterede adminkonti er meget almindelige i forbindelse med phishing og datalæk.
Hvad gør jeg nu?
Følg disse trin hurtigst muligt, hvis din virksomhed anvender Oracle Enterprise Manager Base Platform:
- Identificér om I er berørt: Spørg din IT-ansvarlige eller leverandør, om I kører version 13.5 eller 24.1 af Oracle Enterprise Manager Base Platform.
- Anvend Oracles sikkerhedsopdatering: Oracle udgiver patches via deres Critical Patch Update (CPU). Installer den relevante patch for jeres version hurtigst muligt.
- Begræns netværksadgang: Indtil opdateringen er installeret, bør adgang til Enterprise Manager-konsollen begrænses til kendte og betroede IP-adresser via firewall.
- Gennemgå administratorkonti: Kontrollér hvem der har administratoradgang til Enterprise Manager, og fjern unødvendige konti eller rettigheder.
- Aktivér logning og overvågning: Sørg for, at der logges adgang til Enterprise Manager, så I kan opdage mistænkelig aktivitet.
- Kontakt jeres IT-sikkerhedspartner: Har I ikke en fast IT-leverandør, er det nu et godt tidspunkt at få hjælp til at vurdere eksponeringen.
Patch straks — kritisk alvor
Hos Auroa anbefaler vi, at I behandler denne sårbarhed som akut og installerer Oracles officielle patch inden for de næste 24-72 timer. Begræns i mellemtiden adgangen til Oracle Enterprise Manager til et minimum af betroede brugere og netværk. Husk, at Enterprise Manager typisk har adgang til kritiske dele af jeres IT-infrastruktur — et kompromis her kan have vidtrækkende konsekvenser for hele forretningen.
Tidslinje
Konkrete eksempler
Kompromitteret adminkonto som indgangspunkt
En angriber finder loginoplysninger til en Oracle Enterprise Manager-administratorkonto i et offentligt datalæk fra en anden tjeneste, hvor medarbejderen har genbrugt sin adgangskode. Med disse oplysninger logger angriberen ind via HTTPS og udnytter Deployment Library-komponenten til at overtage hele Enterprise Manager-platformen og derefter sprede adgangen til de underliggende Oracle-databaser.
Phishing-angreb mod IT-administrator
En it-administrator hos en mellemstor produktionsvirksomhed modtager en phishing-mail, der udgiver sig for at være fra Oracle Support. Administratoren klikker på et link og afgiver sine loginoplysninger på en falsk side. Angriberen bruger herefter de stjålne oplysninger til at tilgå Oracle Enterprise Manager og via CVE-2026-46875 opnå fuld kontrol over virksomhedens IT-infrastruktur, herunder produktionsdatabaser.
Intern trussel via tidligere medarbejder
En virksomhed glemmer at deaktivere en tidligere IT-medarbejders administratorkonto i Oracle Enterprise Manager. Den tidligere medarbejder — eller en tredjepart, der har købt kontooplysningerne — udnytter CVE-2026-46875 til at overtage systemet og eksfiltrere (hente ud) følsomme kundedata og forretningshemmeligheder, uden at virksomheden opdager det i tide.
Ofte stillede spørgsmål
Skal angriberen have en konto hos os for at udnytte sårbarheden?
Ja, angriberen skal have en konto med høje rettigheder — typisk en administratorkonto — i Oracle Enterprise Manager. Det lyder beroligende, men i praksis er kompromitterede admin-konti et hyppigt angrebsscenarie via phishing eller genbrug af adgangskoder fra andre datalæk. Derfor er det vigtigt at sikre jeres konti med stærke adgangskoder og to-faktor-autentifikation (2FA).
Hvad er Oracle Enterprise Manager, og bruger vi det?
Oracle Enterprise Manager er et administrationsværktøj til overvågning og styring af Oracle-databaser, servere og applikationer. Det bruges primært i mellemstore og større virksomheder med Oracle-baserede IT-løsninger. Er du i tvivl, om din virksomhed bruger det, så spørg din IT-ansvarlige eller leverandør om at tjekke jeres softwareoversigt.
Hvad betyder det, at angrebet kan ramme 'yderligere produkter' (scope change)?
Scope change betyder, at et vellykket angreb ikke kun rammer Oracle Enterprise Manager — det kan sprede sig til de systemer og databaser, som Enterprise Manager administrerer. Det vil sige, at angriberen potentielt kan nå langt ind i jeres IT-infrastruktur via dette ene indgangspunkt.
Hvornår kom Oracles patch, og hvordan installerer vi den?
Oracle udsender sikkerhedsopdateringer via deres kvartalsvise Critical Patch Update-program (CPU). Patches til CVE-2026-46875 bør søges på Oracles officielle supportportal (support.oracle.com). Din IT-leverandør eller Oracle-partner kan hjælpe med at downloade og installere den korrekte patch til jeres version.
Kan vi beskytte os midlertidigt, mens vi venter på at installere patchen?
Ja. Den mest effektive midlertidige foranstaltning er at begrænse netværksadgang til Oracle Enterprise Manager via firewall, så kun autoriserede IP-adresser kan nå systemet. Derudover bør I gennemgå og rydde op i administratorkonti samt aktivere overvågning af loginaktivitet. Disse tiltag reducerer risikoen markant, men erstatter ikke opdateringen.
Er der tegn på, at denne sårbarhed allerede udnyttes aktivt?
På nuværende tidspunkt er der ikke bekræftede rapporter om aktiv udnyttelse i stor skala. Dog er proof-of-concept (PoC) — altså demonstrationskode der viser, hvordan sårbarheden kan udnyttes — tilgængeligt, hvilket øger risikoen for angreb betragteligt. Vent ikke på, at truslen materialiserer sig, men patch nu.
Ramte produkter
Oracle — Enterprise Manager Base Platform
13.5.0.0
Oracle — Enterprise Manager Base Platform
24.1.0.0.0
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Vulnerability in the Oracle Enterprise Manager Base Platform product of Oracle Enterprise Manager (component: Deployment Library). Supported versions that are affected are 13.5 and 24.1. Easily exploitable vulnerability allows high privileged attacker with network access via HTTPS to compromise Oracle Enterprise Manager Base Platform. While the vulnerability is in Oracle Enterprise Manager Base Platform, attacks may significantly impact additional products (scope change). Successful attacks of this vulnerability can result in takeover of Oracle Enterprise Manager Base Platform. CVSS 3.1 Base Score 9.1 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H).
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
