CVE-2026-56215: Capgo SSO-kontoovertag – hvad du skal vide
Fejl i Capgo lader en angriber overtage din medarbejders konto ved at manipulere e-mailadressen i systemet.
Hvad er det?
Capgo er et system til opdatering af mobilapps (over-the-air updates). En fejl i versioner før 12.128.12 gør det muligt for en bruger med en almindelig konto at ændre sin e-mailadresse til en vilkårlig adresse — for eksempel en kollegas arbejdsmail. Når offeret efterfølgende logger ind via virksomhedens SSO (Single Sign-On, dvs. fælles login), tror systemet fejlagtigt, at det er den samme konto, og slår de to konti sammen. Resultatet er, at angriberen overtager offerets konto og alle dens rettigheder.
Hvem rammer det?
Sårbarheden rammer virksomheder, der bruger Capgo til at distribuere app-opdateringer og samtidig anvender SSO (fælles login via f.eks. Microsoft Entra, Google Workspace eller Okta). Det kræver, at angriberen allerede har en gyldig konto i Capgo — men det kan være en tidligere medarbejder, en ekstern samarbejdspartner eller en lavprivilegeret bruger.
Hvad kan ske?
En angriber kan overtage en anden brugers konto — herunder administratorer — og dermed få fuld adgang til jeres app-distributionsmiljø. Det betyder, at angriberen potentielt kan:
- Skubbe ondsindede opdateringer ud til slutbrugere af jeres app
- Tilgå følsomme oplysninger og konfigurationer gemt i Capgo
- Ændre eller slette eksisterende app-versioner
- Operere skjult under offerets identitet, hvilket gør sporbarhed vanskelig
Hvor alvorligt er det?
Sårbarheden er vurderet til 8.3 ud af 10 (Alvorlig) af NVD. Den er nem at udnytte: angriberen behøver ikke særlige tekniske færdigheder, og angrebet kan udføres over internettet uden at kræve handlinger fra offerets side. Fortrolighed og integritet (adgang og mulighed for at ændre data) er begge i høj risiko. Tilgængelighed (at systemet kører) vurderes som mindre påvirket.
Hvad gør jeg nu?
Opdater Capgo hurtigst muligt og gennemgå adgange i mellemtiden:
- Opdater Capgo til version 12.128.12 eller nyere — dette er den vigtigste handling og bør prioriteres straks.
- Gennemgå brugerlisterne i Capgo og identificer konti med adgang, der ikke længere er nødvendig (f.eks. tidligere ansatte eller partnere).
- Tjek logfiler for usædvanlige konto-sammenlægninger eller ændringer af e-mailadresser de seneste måneder.
- Suspender eller deaktiver ukendte/mistænkelige konti midlertidigt, mens I undersøger situationen.
- Informér jeres IT-ansvarlige eller leverandør, hvis I er i tvivl om, hvorvidt I har været udsat for et angreb.
Opdater inden for 24-48 timer
Opdater Capgo til version 12.128.12 eller nyere så hurtigt som muligt — helst inden for de næste 24 timer. Fejlen er let at udnytte af enhver med en konto i systemet, og konsekvenserne kan være alvorlige, hvis jeres app-distribution kompromitteres. Gennemgå samtidig, hvem der har adgang til Capgo, og fjern konti der ikke længere er nødvendige.
Tidslinje
Konkrete eksempler
Tidligere medarbejder overtager administrators konto
En tidligere IT-medarbejder har stadig en aktiv Capgo-konto. Han ændrer sin e-mailadresse i Capgo til virksomhedens nuværende IT-administrators arbejdsmail. Næste gang administratoren logger ind via SSO, slår Capgo de to konti sammen, og den tidligere medarbejder har nu fuld adgang til app-distributionsmiljøet — uden at nogen opdager det med det samme.
Ondsindet app-opdatering sendes til slutbrugere
En angriber med en lavprivilegeret Capgo-konto bruger fejlen til at overtage en udviklerkonto med rettigheder til at udgive app-opdateringer. Angriberen skubber derefter en manipuleret version af virksomhedens app ud til alle brugere, som indeholder skjult spyware. Slutbrugerne opdaterer automatisk og ved intet om kompromitteringen.
Ekstern konsulent misbruger adgang
En ekstern konsulent, der har fået midlertidig adgang til Capgo, positionerer sin konto med en ledende medarbejders SSO-email. Når kontrakten udløber og konsulentkontoen ikke slettes, kan konsulenten vente på, at offeret logger ind via SSO og derved automatisk overtage dennes konto og de tilknyttede rettigheder.
Ofte stillede spørgsmål
Skal vi bruge SSO for at være sårbare?
Ja, angrebet udnytter specifikt den måde, Capgo håndterer SSO-login (fælles virksomhedslogin). Bruger I ikke SSO i Capgo, er I ikke umiddelbart i risiko for præcis dette angreb — men opdatering anbefales alligevel, da det er god sikkerhedspraksis.
Kan angriberen være en ekstern person eller skal det være en medarbejder?
Angriberen skal have en eksisterende, gyldig konto i Capgo. Det kan være en nuværende medarbejder, en tidligere ansat der ikke er fjernet, eller en ekstern samarbejdspartner med adgang. Derfor er det vigtigt at rydde op i brugerlisterne løbende.
Hvordan ved jeg, om vi allerede er blevet angrebet?
Kig i Capgos logfiler efter uventede ændringer af e-mailadresser på brugerkonti og usædvanlige konto-sammenlægninger, særligt i perioden op til opdateringen. Kontakt Capgos support, hvis I er i tvivl om, hvad I ser i loggene.
Er det nok at opdatere, eller skal vi gøre mere?
Opdateringen lukker hullet og er det vigtigste skridt. Derudover bør I gennemgå brugeradgange og fjerne unødvendige konti — det er god praksis generelt og reducerer risikoen for fremtidige angreb af lignende karakter.
Hvad er SSO, og hvorfor er det relevant her?
SSO står for Single Sign-On og betyder, at medarbejdere logger ind ét sted (f.eks. med deres Microsoft- eller Google-arbejdskonto) og automatisk får adgang til flere systemer, herunder Capgo. Fejlen ligger i, at Capgo ukritisk stoler på e-mailadressen som bevis for identitet, når en SSO-bruger logger ind første gang.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Capgo before 12.128.12 allows authenticated users to modify their mutable public.users.email to arbitrary addresses, which the SSO provisioning endpoint trusts as an account-merge key. Attackers can pre-position their account with a victim’s corporate SSO email, causing the provision-user endpoint to merge the victim’s SSO identity into the attacker-controlled account.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
