CVE-2026-46945: Kritisk fejl i Oracle iSupport
Kritisk fejl i Oracle iSupport giver angribere med admin-adgang fuld kontrol over systemet via internettet.
Hvad er det?
CVE-2026-46945 er en kritisk sikkerhedsfejl i Oracle iSupport, som er en del af Oracle E-Business Suite — et udbredt system til styring af forretningsprocesser. Fejlen sidder i komponenten ‘Internal Operations’ og gør det muligt for en angriber, der allerede har privilegeret adgang (fx et kompromitteret administratorkonti), at overtage hele iSupport-systemet via en almindelig HTTP-forbindelse over internettet. Det kræver ingen brugerinteraktion og er let at udnytte. Desuden kan angrebet sprede sig og påvirke andre systemer og produkter ud over iSupport selv — det som kaldes ‘scope change’ i sikkerhedstermer.
Hvem rammer det?
Sårbarheden rammer virksomheder og organisationer, der bruger Oracle iSupport i version 12.2.3 til og med 12.2.14. Oracle iSupport bruges typisk af virksomheder til at håndtere kundeservice, serviceforespørgsler og interne operationer via Oracle E-Business Suite. Hvis din virksomhed anvender Oracle E-Business Suite og har iSupport-modulet aktiveret, bør du straks tjekke din version.
Hvad kan ske?
En angriber, der udnytter fejlen, kan opnå fuld kontrol over Oracle iSupport-systemet. Det betyder i praksis:
- Fortrolighed: Alle data i systemet kan læses og eksfiltreres — herunder kundeoplysninger, serviceaftaler og interne procesdata.
- Integritet: Data kan ændres eller slettes, hvilket kan føre til forkerte forretningsbeslutninger eller manipulation af serviceprocesser.
- Tilgængelighed: Systemet kan lukkes ned eller gøres ubrugeligt, hvilket rammer din forretningsdrift direkte.
- Spredning: Angrebet kan brede sig til andre systemer, der er forbundet med Oracle E-Business Suite.
Hvor alvorligt er det?
Sårbarheden er vurderet til CVSS-score 9.1 ud af 10, hvilket klassificeres som kritisk. Det er en af de højeste scores en sårbarhed kan få. Angrebet kan udføres over netværket uden fysisk adgang, kræver ingen handling fra brugernes side, og er let at gennemføre. Det eneste, der bremser en angriber, er kravet om privilegeret adgang — men hvis en administratorkonto allerede er kompromitteret (fx via phishing eller svage adgangskoder), er vejen åben.
Hvad gør jeg nu?
Følg disse trin så hurtigt som muligt, helst inden for de næste 7 dage:
- Tjek din version: Find ud af, hvilken version af Oracle iSupport og E-Business Suite din virksomhed kører. Din IT-leverandør eller systemadministrator kan hjælpe med dette.
- Opdatér til version 12.2.15 eller nyere: Oracle har udgivet en patch (rettelse) der lukker hullet. Sørg for at opdateringen planlægges og gennemføres hurtigst muligt.
- Gennemgå administratorkonti: Kontrollér hvem der har privilegeret adgang til Oracle iSupport, og fjern adgang for konti der ikke længere har brug for det.
- Styrk adgangskoder og MFA: Sørg for at alle administratorkonti bruger stærke, unikke adgangskoder og helst multifaktorgodkendelse (MFA — et ekstra bekræftelsestrin ved login).
- Overvåg systemloggene: Bed din IT-ansvarlige om at gennemgå logfiler for usædvanlig aktivitet, særligt adgang til Internal Operations-komponenten.
- Kontakt din IT-leverandør: Hvis du er usikker på noget af ovenstående, kontakt din leverandør eller en cybersikkerhedsrådgiver med det samme.
Opdatér inden for 7 dage
Vi anbefaler, at du prioriterer opdatering til Oracle iSupport version 12.2.15 eller nyere så hurtigt som muligt. Selvom angrebet kræver privilegeret adgang, er det en fejlagtig antagelse at tro, at jeres administratorkonti ikke kan kompromitteres — phishing og svage adgangskoder er stadig de mest udbredte årsager til kontobrud. Kombiner opdateringen med en gennemgang af adgangsrettigheder og aktivér MFA på alle administrative konti for at reducere risikoen markant.
Tidslinje
Konkrete eksempler
Kompromitteret administratorkonto udnyttes til systemovertagelse
En angriber sender en målrettet phishing-mail til en medarbejder med administratorrettigheder i Oracle E-Business Suite. Medarbejderen klikker på et link og afgiver sine loginoplysninger. Angriberen logger ind med de stjålne credentials og udnytter CVE-2026-46945 til at overtage iSupport-systemet fuldstændigt — herunder at eksportere alle kundedata og serviceregistreringer.
Insider-trussel med adgang til interne systemer
En misfornøjet medarbejder eller konsulent med privilegeret netværksadgang udnytter sårbarheden via en simpel HTTP-forespørgsel til iSupport-systemet. Ved hjælp af fejlen opnår vedkommende fuld kontrol og kan ændre eller slette data i Internal Operations-komponenten uden at efterlade tydelige spor i de normale brugerlogge.
Angreb spreder sig fra iSupport til tilknyttede systemer
En angriber overtager først Oracle iSupport via sårbarheden og bruger derefter systemets tillidsforhold og integrationer til at bevæge sig videre ind i andre dele af Oracle E-Business Suite — fx Financials eller HR-moduler. Det, der startede som et angreb på kundeservice-systemet, udvikler sig til et fuldt brud på virksomhedens ERP-platform (det centrale forretningssystem).
Ofte stillede spørgsmål
Skal jeg bekymre mig, hvis vi ikke bruger Oracle iSupport aktivt?
Ja, selv hvis modulet ikke bruges aktivt, kan det stadig være installeret og tilgængeligt via netværket. En angriber behøver ikke at du bruger det — det skal blot være tilgængeligt. Tjek om modulet er aktiveret, og overvej at deaktivere det, hvis det ikke bruges, mens du venter på at opdatere.
Angriberen skal have 'høje privilegier' — er vi ikke beskyttet af det?
Det er en dæmpende faktor, men ikke en garanti for sikkerhed. Høje privilegier kan opnås via phishing, svage adgangskoder, genbrug af adgangskoder fra andre databrud eller insidertrusler. Sæt ikke din lid til dette som eneste beskyttelse — opdatér systemet og styrk adgangskontrollen.
Hvad mener man med 'scope change' i denne sammenhæng?
‘Scope change’ betyder, at et vellykket angreb ikke kun rammer Oracle iSupport, men potentielt også kan sprede sig til andre systemer og produkter, der er forbundet med Oracle E-Business Suite. Det øger alvoren betydeligt, fordi skaden ikke er begrænset til ét system.
Hvordan ved jeg, om vi allerede er blevet angrebet?
Tegn på et angreb kan være usædvanlige logins på administratorkonti, ændringer i systemkonfigurationer du ikke kan forklare, eller systemer der opfører sig mærkværdigt. Bed din IT-ansvarlige om at gennemgå adgangslogge for Oracle iSupport-systemet, særligt for perioden efter sårbarhedens offentliggørelse den 17. juni 2026.
Kan vi bruge en midlertidig løsning, mens vi venter på at opdatere?
Oracle har ikke udmeldt en officiel workaround som erstatning for patchen. Som midlertidig foranstaltning kan du begrænse netværksadgangen til iSupport-systemet, så kun nødvendige IP-adresser kan nå det, og sikre at alle administratorkonti har MFA aktiveret. Men dette erstatter ikke opdateringen.
Hvem skal jeg kontakte hos Oracle for at få hjælp til opdateringen?
Du kan kontakte Oracles support via My Oracle Support (MOS) på support.oracle.com. Søg efter CVE-2026-46945 eller den tilhørende Oracle Critical Patch Update for at finde den relevante patch og vejledning. Din Oracle-licenspartner eller IT-leverandør kan også hjælpe med at planlægge og gennemføre opdateringen.
Ramte produkter
Oracle — Isupport
≥ 12.2.3, < 12.2.15
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Vulnerability in the Oracle iSupport product of Oracle E-Business Suite (component: Internal Operations). Supported versions that are affected are 12.2.3-12.2.15. Easily exploitable vulnerability allows high privileged attacker with network access via HTTP to compromise Oracle iSupport. While the vulnerability is in Oracle iSupport, attacks may significantly impact additional products (scope change). Successful attacks of this vulnerability can result in takeover of Oracle iSupport. CVSS 3.1 Base Score 9.1 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H).
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
