CVE-2026-58138: Kritisk RCE i Orkes Conductor
Kritisk sårbarhed i Orkes Conductor 3.21.21–3.30.1 lader angribere køre vilkårlige kommandoer uden login.
Hvad er det?
Orkes Conductor er et system til at styre og automatisere arbejdsprocesser (såkaldte workflows) i it-miljøer. En sårbarhed i versioner fra 3.21.21 op til — men ikke inklusive — 3.30.2 gør det muligt for en angriber at sende ondsindet kode direkte til systemets API (et programmeringsgrænseflade) uden at logge ind først. Koden eksekveres (køres) af en JavaScript/Python-motor, der ikke er afskærmet ordentligt, og angriberen kan dermed udføre hvad som helst på den underliggende server. Sårbarheden er klassificeret som CWE-94, som handler om ukontrolleret kodeinjektion.
Hvem rammer det?
Alle virksomheder og organisationer, der kører Orkes Conductor version 3.21.21 til og med 3.30.1 og har systemets API tilgængeligt fra internettet eller et internt netværk. Det gælder særligt it-afdelinger og udviklere, der bruger Conductor til at orkestrere automatiserede processer — f.eks. i cloud-miljøer, mikroservice-arkitekturer eller DevOps-pipelines. Hvis du ikke ved, om I bruger Orkes Conductor, bør du spørge din it-ansvarlige eller softwareleverandør med det samme.
Hvad kan ske?
En angriber, der udnytter denne sårbarhed, kan:
- Overtage den server, som Conductor kører på, og få fuld kontrol over operativsystemet
- Stjæle følsomme data, herunder hemmeligheder, API-nøgler og konfigurationsfiler
- Installere ransomware (afpresningssoftware) eller bagdøre til fremtidig adgang
- Sprede sig videre til andre systemer på jeres netværk
- Slette eller manipulere data og logfiler for at skjule spor
Fordi angrebet ikke kræver nogen form for login, kan det udføres af hvem som helst med netværksadgang til systemet.
Hvor alvorligt er det?
CVSS-scoren er 9.8 ud af 10 — Kritisk. Det er den højeste risikoklasse. Scoren afspejler, at angrebet kan udføres over netværket uden nogen form for autentificering (login) eller brugerinteraktion, og at konsekvenserne for fortrolighed, integritet og tilgængelighed alle vurderes som høje. Med andre ord: angriberen behøver ingen adgangskoder, ingen hjælp fra brugere og ingen særlige forudsætninger for at overtage systemet fuldstændigt.
Hvad gør jeg nu?
Følg disse trin hurtigst muligt — helst inden for 24 timer:
- Find ud af, om I er ramt: Bed din it-ansvarlige eller leverandør tjekke, om I kører Orkes Conductor, og hvilken version det drejer sig om.
- Opdatér straks til version 3.30.2 eller nyere: Hent og installér den patchede version fra Orkes’ officielle kanaler. Opdateringen lukker sårbarheden.
- Begræns netværksadgang midlertidigt: Hvis I ikke kan opdatere med det samme, så blokér for ekstern adgang til Conductor-API’et via firewall (netværksfilter), til opdateringen er på plads.
- Gennemgå logfiler: Bed din it-ansvarlige se på systemets logfiler for usædvanlig aktivitet de seneste uger — særligt kald til workflow-API’et fra ukendte adresser.
- Skift hemmeligheder og API-nøgler: Hvis systemet har været eksponeret, bør alle adgangskoder og nøgler tilknyttet Conductor-miljøet udskiftes som forholdsregel.
- Kontakt Auroa, hvis I er i tvivl: Vi hjælper jer med at vurdere eksponering og sikre, at I er dækket ind.
Opdatér inden for 24 timer
Opdatér Orkes Conductor til version 3.30.2 eller nyere så hurtigt som muligt — dette er en kritisk sårbarhed, der kræver øjeblikkelig handling. Har I ikke kapacitet til at håndtere opdateringen selv, så spær for ekstern adgang til API’et som nødforanstaltning og kontakt jeres it-leverandør eller Auroa samme dag. Vent ikke på det næste planlagte vedligeholdelsesvindue — risikoen er for høj.
Tidslinje
Konkrete eksempler
Angriber overtager server via workflow-API
En angriber finder en virksomheds Orkes Conductor-installation eksponeret på internettet og sender en HTTP-forespørgsel til API-endpointet for workflows. I forespørgslen indlejrer angriberen et ondsindet JavaScript-udtryk i en INLINE-opgave-definition. GraalVM-motoren evaluerer koden uden begrænsninger og eksekverer en systemkommando, der giver angriberen en baggårdsdørs-forbindelse (reverse shell) til serveren — alt uden at have logget ind.
Ransomware installeres på Conductor-server
Via den uautoriserede kodeeksekvering downloader en angriber et ransomware-program til Conductor-serveren og kører det. Alle filer på serveren krypteres, og virksomheden modtager et krav om løsesum for at få adgang igen. Fordi Conductor-serveren har adgang til andre interne systemer, spreder angrebet sig hurtigt i netværket.
Hemmelige API-nøgler stjæles fra miljøvariable
En angriber bruger sårbarheden til at injicere en Python-kommando via en DO_WHILE-opgave, der læser serverens miljøvariable (environment variables) og sender dem til en ekstern server. I miljøvariablene ligger API-nøgler til virksomhedens cloud-tjenester, databaser og betalingsudbydere — disse er nu i angriberens hænder og kan misbruges til dataudtræk eller økonomi-svindel.
Ofte stillede spørgsmål
Hvad er Orkes Conductor, og bruger vi det?
Orkes Conductor er et open source-baseret system til at styre automatiserede it-processer (workflows). Det bruges typisk af udviklere og it-afdelinger i forbindelse med cloud-løsninger og mikroservice-arkitekturer. Er du usikker på, om I bruger det, kan du spørge din it-ansvarlige eller søge efter ‘Conductor’ i jeres software-inventar eller cloud-konti.
Skal vi være tilgængelige på internettet for at være i risiko?
Ikke nødvendigvis. Angrebet kan udføres af enhver med netværksadgang til systemet — det kan også være en intern trussel eller en angriber, der allerede er kommet ind på jeres netværk. Er API’et eksponeret mod internettet, er risikoen dog størst og mest umiddelbar.
Hvad betyder det, at der ikke kræves login for at angribe?
Det betyder, at angriberen ikke behøver at kende jeres adgangskoder eller have en konto i systemet. Vedkommende sender blot en særligt udformet forespørgsel direkte til programmets API, og hvis systemet er sårbart, vil ondsindet kode blive kørt med det samme. Det gør sårbarheden særligt farlig.
Er der tegn på, at nogen allerede udnytter denne sårbarhed?
Der er kendskab til offentligt tilgængelig proof-of-concept-kode (demonstrationskode der viser, hvordan angrebet virker), hvilket øger sandsynligheden for, at angribere aktivt forsøger at udnytte den. Det er derfor vigtigt at handle hurtigt frem for at afvente yderligere bekræftelse.
Kan vi bare slå nogle funktioner fra i stedet for at opdatere?
En midlertidig løsning er at blokere for adgang til Conductor-API’et via firewall. Det reducerer risikoen, men er ikke en permanent løsning. Den eneste sikre løsning er at opdatere til version 3.30.2 eller nyere, da selve kodeeksekverings-motoren er det grundlæggende problem.
Hvad gør vi, hvis vi opdager, at nogen allerede har udnyttet sårbarheden?
Isolér det berørte system fra netværket med det samme, og kontakt en it-sikkerhedsekspert eller Auroa. Undlad at slukke serveren, da logfiler kan gå tabt. Dokumentér hvad I observerer, og vurdér om der er tale om et brud på persondatasikkerheden, som kan kræve anmeldelse til Datatilsynet inden for 72 timer.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Orkes Conductor 3.21.21 before 3.30.2 contains an unauthenticated remote code execution vulnerability that allows remote attackers to execute arbitrary OS commands by submitting inline workflow definitions containing malicious JavaScript or Python expressions to the workflow API endpoint prior to authentication. Attackers can exploit unsandboxed GraalVM evaluators configured with HostAccess.ALL or allowAllAccess(true) through INLINE, LAMBDA, DO_WHILE, and SWITCH task types to invoke arbitrary system commands via Java reflection or direct subprocess calls.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
