CVE-2026-46934: Sårbarhed i Oracle E-Business Suite
Sårbarhed i Oracle E-Business Suite giver angribere mulighed for at overtage dit vedligeholdelsessystem via internettet.
Hvad er det?
CVE-2026-46934 er en sårbarhed i Oracle E-Business Suite, nærmere bestemt i modulet Complex Maintenance, Repair and Overhaul (CMRO) — et system til styring af vedligehold, reparation og eftersyn. Fejlen findes i den interne operationshåndtering og påvirker versionerne 12.2.3 til 12.2.15. En angriber med adgang til netværket og en brugerkonto kan udnytte fejlen via HTTP (almindelig webkommunikation) og i sidste ende overtage hele systemet. Angrebet kræver ikke, at du klikker på noget eller godkender noget — det sker i baggrunden.
Hvem rammer det?
Sårbarheden rammer virksomheder, der bruger Oracle E-Business Suite version 12.2.3 til 12.2.15 med CMRO-modulet aktivt. Det er typisk virksomheder inden for produktion, luftfart, forsvar, transport eller forsyning, der bruger Oracle til at styre teknisk vedligehold og serviceprocesser. Hvis jeres Oracle-installation er tilgængelig via internettet eller et internt netværk med mange brugere, er risikoen forhøjet.
Hvad kan ske?
Hvis en angriber udnytter sårbarheden, kan vedkommende overtage Oracle CMRO-systemet fuldstændigt. Det betyder i praksis:
- Fortrolighed: Angriberen kan læse alle data i systemet — herunder vedligeholdelsesplaner, kundedata og interne processer.
- Integritet: Angriberen kan ændre eller slette data, fx manipulere servicehistorik eller godkendelser.
- Tilgængelighed: Systemet kan gøres utilgængeligt, hvilket kan stoppe forretningskritiske vedligeholdelsesprocesser.
Hvor alvorligt er det?
Sårbarheden er vurderet til CVSS 7.5 — Alvorlig. Angrebet kræver en eksisterende brugerkonto (lav privilegier) og er teknisk komplekst at gennemføre, hvilket trækker scoren lidt ned. Til gengæld er konsekvenserne maksimale: fuld overtagelse af systemet med tab af fortrolighed, integritet og tilgængelighed. Fordi angrebet kan ske over netværket uden brugerinteraktion, er det særligt farligt i miljøer, hvor Oracle er eksponeret mod internettet eller delte netværk.
Hvad gør jeg nu?
Følg disse trin for at beskytte din virksomhed hurtigst muligt:
- Find ud af, hvilken version I kører: Log ind i Oracle E-Business Suite og kontroller versionen. Er den mellem 12.2.3 og 12.2.15, er I potentielt sårbare.
- Kontakt jeres Oracle-leverandør eller IT-partner: Bed dem bekræfte, om CMRO-modulet er aktivt, og om der er en tilgængelig sikkerhedsopdatering fra Oracle.
- Anvend Oracles Critical Patch Update (CPU): Oracle udgiver kvartalsvise sikkerhedsopdateringer. Sørg for, at den relevante patch er installeret hurtigst muligt.
- Begræns netværksadgang midlertidigt: Hvis systemet er tilgængeligt fra internettet, overvej at begrænse adgangen til kendte IP-adresser, indtil patch er installeret.
- Gennemgå brugerkonti: Kontroller, hvem der har adgang til systemet, og deaktiver inaktive eller unødvendige konti.
Patch hurtigst muligt — inden for 2 uger
Vi anbefaler, at du prioriterer installation af Oracles seneste Critical Patch Update, der adresserer denne sårbarhed. Kontakt din IT-leverandør i dag og få bekræftet, om I kører en sårbar version. I mellemtiden bør adgangen til Oracle E-Business Suite begrænses til det absolut nødvendige. Har du brug for hjælp til at vurdere din eksponering eller planlægge patching, er du velkommen til at kontakte Auroa.
Tidslinje
Konkrete eksempler
Intern bruger eskalerer adgang
En medarbejder med en almindelig brugerkonto i Oracle E-Business Suite opdager eller køber adgang til et exploit-værktøj rettet mod CMRO-modulet. Via en HTTP-forespørgsel udnytter vedkommende sårbarheden og opnår fuld administratoradgang til systemet — uden at IT-afdelingen opdager det. Herefter kan medarbejderen læse, ændre eller slette vedligeholdelsesdata uden spor.
Kompromitteret partnerkonto bruges som angrebsvej
En ekstern servicepartner har adgang til jeres Oracle-system for at registrere serviceordrer. Partnerens adgangskode stjæles via phishing. Angriberen bruger nu den kompromitterede konto til at sende en særligt udformet HTTP-forespørgsel mod CMRO-modulet, overtager systemet og installerer bagdørsadgang (software der giver vedvarende adgang). I opdager det ikke, fordi aktiviteten ligner normal brug.
Ransomware-gruppe rammer vedligeholdelsessystem
En organiseret angrebsgruppe scanner internettet for eksponerede Oracle E-Business Suite-installationer. De finder jeres system, bruger en stjålet brugerkonto og udnytter sårbarheden til at overtage CMRO. Herefter krypterer de data i systemet og kræver løsesum for at genoprette adgangen — et klassisk ransomware-angreb der kan lamme jeres vedligeholdelsesprocesser i dage eller uger.
Ofte stillede spørgsmål
Skal vi bruge CMRO-modulet for at være sårbare?
Ja, sårbarheden er specifikt i Oracle Complex Maintenance, Repair and Overhaul (CMRO)-komponenten. Har I ikke dette modul aktivt i jeres Oracle E-Business Suite-installation, er I ikke direkte berørt af netop denne sårbarhed. Det er dog en god idé at få en IT-partner til at bekræfte dette.
Kan en angriber udnytte dette uden at kende vores adgangskode?
Nej — angriberen skal have en gyldig brugerkonto i systemet med lave rettigheder. Det kan fx være en tidligere medarbejder, en ekstern samarbejdspartner eller en konto, der er blevet kompromitteret på anden vis. Derfor er det vigtigt at holde brugerkonti opdaterede og fjerne adgang, der ikke længere er nødvendig.
Hvad er en Critical Patch Update (CPU) fra Oracle?
Oracle udgiver fire gange om året en samlet pakke af sikkerhedsopdateringer kaldet Critical Patch Update. Den indeholder rettelser til kendte sårbarheder på tværs af Oracles produkter. Din IT-leverandør eller Oracle-partner kan hjælpe med at installere den korrekte opdatering til jeres version.
Er vi i fare, hvis Oracle kun er tilgængeligt internt i virksomheden?
Risikoen er lavere, men ikke elimineret. Angrebet kan stadig udføres af en medarbejder med netværksadgang og en brugerkonto — fx en utilfreds medarbejder eller en konto der er overtaget via phishing. Intern eksponering reducerer risikoen, men patching er stadig nødvendig.
Hvad sker der, hvis vi ikke opdaterer?
Uden en patch forbliver I sårbare over for angreb, der kan resultere i fuld overtagelse af jeres Oracle CMRO-system. Det kan betyde datatab, manipulation af vedligeholdelsesdata og systemnedbrud. Jo længere I venter, jo større er risikoen for, at angribere aktivt begynder at udnytte sårbarheden.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Vulnerability in the Oracle Complex Maintenance, Repair and Overhaul product of Oracle E-Business Suite (component: Internal Operations). Supported versions that are affected are 12.2.3-12.2.15. Difficult to exploit vulnerability allows low privileged attacker with network access via HTTP to compromise Oracle Complex Maintenance, Repair and Overhaul. Successful attacks of this vulnerability can result in takeover of Oracle Complex Maintenance, Repair and Overhaul. CVSS 3.1 Base Score 7.5 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H).
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
