CVE-2026-59099: Kritisk fejl i Apereo CAS login-system
Kritisk krypteringsfejl i Apereo CAS 7.3.0–8.0.0-RC5 lader angribere dekryptere login-sessioner uden at logge ind.
Hvad er det?
Apereo CAS er et udbredt open source-login-system (Single Sign-On), som mange organisationer bruger til at samle brugerlogin på tværs af systemer. I versioner fra 7.3.0 til og med 8.0.0-RC5 er der en alvorlig fejl i den måde, systemet krypterer login-sessioner på.
Fejlen skyldes, at systemet altid bruger den samme startværdi (IV – Initialization Vector) på nul, når det krypterer data med AES-GCM (en standard krypteringsmetode). Det svarer til at bruge den samme engangsnøgle igen og igen — noget kryptografi aldrig må gøre. En angriber kan samle flere krypterede tokens fra login-siden og bruge dem til at knække krypteringen og læse indholdet af andres login-sessioner.
Hvem rammer det?
Sårbarheden rammer virksomheder og organisationer, der anvender Apereo CAS version 7.3.0 op til (men ikke inklusiv) 8.0.0-RC6 som login-løsning. Det gælder typisk:
- Universiteter og uddannelsesinstitutioner, der ofte bruger Apereo CAS til fælles login
- Offentlige institutioner og kommuner med centraliseret brugeradministration
- Virksomheder der har implementeret CAS som Single Sign-On til interne systemer
Hvis du er usikker på, om din virksomhed bruger Apereo CAS, så spørg din IT-leverandør eller systemadministrator.
Hvad kan ske?
En angriber uden nogen form for login kan udnytte denne sårbarhed til at:
- Læse indholdet af andre brugeres login-sessioner — herunder potentielt brugernavne, roller og adgangstokens
- Efterligne legitime brugere ved at genbruge dekrypterede sessionsdata og få adgang til systemer bag login
- Kortlægge interne systemer og brugerrettigheder uden at efterlade spor i normale login-logs
Angriberen behøver kun adgang til den offentlige login-side — ingen brugernavn, intet kodeord. Det gør sårbarheden særligt farlig i systemer der vender mod internettet.
Hvor alvorligt er det?
Sårbarheden er vurderet til CVSS-score 9.1 ud af 10 — Kritisk. Det er en af de højeste risikovurderinger, der eksisterer.
Angrebsprofilen er maksimalt bekymrende: angrebet kan udføres over internettet, kræver ingen særlige tekniske privilegier, ingen hjælp fra brugere og kan gennemføres med lav teknisk kompleksitet. Konsekvenserne rammer både fortrolighed (data kan læses) og integritet (data kan forfalskes/misbruges). Tilgængelighed af systemet påvirkes ikke direkte.
CWE-323 (genbrug af IV i kryptografi) er en velkendt og veldokumenteret fejlklasse, hvilket betyder, at angribere med kryptografisk viden hurtigt kan bygge et fungerende angreb.
Hvad gør jeg nu?
Hvis din organisation bruger Apereo CAS, skal du handle nu. Her er hvad du gør:
- Identificér din version: Bed din IT-ansvarlige eller leverandør om at bekræfte, hvilken version af Apereo CAS I kører. Er det 7.3.0 til 8.0.0-RC5, er I sårbare.
- Opdatér til 8.0.0-RC6 eller nyere: Opgrader straks til en version, der ikke er ramt. Følg den officielle Apereo-dokumentation, eller få din IT-leverandør til at gøre det.
- Begræns eksponering midlertidigt: Hvis opdatering ikke kan ske med det samme, så overvej at begrænse adgangen til login-siden til kendte IP-adresser via firewall som en midlertidig foranstaltning.
- Gennemgå adgangslogger: Kig på login-logs fra de seneste uger for usædvanlig aktivitet — særligt logins fra ukendte IP-adresser eller på usædvanlige tidspunkter.
- Orienter relevante parter: Hvis I håndterer persondata (GDPR), vurdér om der er grundlag for en databrudssag til Datatilsynet inden for 72 timer.
Opdatér inden for 24–48 timer
Opdatér Apereo CAS til version 8.0.0-RC6 eller nyere så hurtigt som muligt — helst inden for de næste 24 timer. Denne type kryptografifejl er veldokumenteret og relativt nem at udnytte for en angriber med det rette kendskab. Hvis I ikke selv har ressourcerne til at håndtere opdateringen, så kontakt jeres IT-leverandør akut og henvis til CVE-2026-59099. Vent ikke på næste planlagte vedligeholdelsesvindue.
Tidslinje
Konkrete eksempler
Angriber dekrypterer medarbejders session og overtager adgang
En angriber besøger jeres offentlige login-side og indsamler automatisk en stor mængde krypterede webflow-tokens ved at simulere påbegyndte login-forsøg. Ved at sammenligne tokens kan angriberen, grundet den faste IV=0, beregne krypteringsnøglestrømmen og dekryptere indholdet. Resultatet er adgang til en medarbejders aktive session — og dermed alle de systemer, medarbejderen er logget ind på via Single Sign-On.
Kortlægning af interne systemer og brugerroller
Sessionsdata i Apereo CAS indeholder ofte oplysninger om, hvilke systemer brugeren har adgang til, og hvilke roller vedkommende har (f.eks. administrator, økonomimedarbejder). En angriber, der dekrypterer disse data, får et detaljeret kort over jeres interne IT-infrastruktur og kan målrette videre angreb mod de mest værdifulde konti uden at trigge normale alarmer.
Session-replay angreb mod HR- eller økonomisystem
Efter at have dekrypteret en sessions-token fra en HR-medarbejder kan en angriber genbruge den gyldige session til at tilgå jeres HR- eller lønsystem direkte — uden nogen gang at have indtastet et brugernavn eller kodeord. Angrebet efterlader minimale spor i logfilerne, da systemet opfatter det som et legitimt login fra en allerede autentificeret bruger.
Ofte stillede spørgsmål
Hvad er Apereo CAS, og ved jeg om vi bruger det?
Apereo CAS (Central Authentication Service) er et open source-system til centraliseret login — også kaldet Single Sign-On (SSO). Det bruges typisk af uddannelsesinstitutioner, offentlige myndigheder og større virksomheder, så brugerne kun skal logge ind ét sted. Spørg din IT-ansvarlige eller leverandør, om I bruger det. Det vil ofte fremgå af jeres loginside-URL eller systemdokumentation.
Skal en angriber kende vores brugeres kodeord for at udnytte fejlen?
Nej — og det er præcis det, der gør denne sårbarhed så alvorlig. En angriber behøver kun adgang til jeres offentlige login-side. Derfra kan vedkommende indsamle krypterede tokens og matematisk aflede krypteringsnøglestrømmen. Ingen brugernavn, intet kodeord, ingen social manipulation er nødvendig.
Hvad er AES-GCM og IV, og hvorfor er det et problem?
AES-GCM er en meget udbredt og normalt sikker krypteringsmetode. En IV (Initialization Vector) er en tilfældig startværdi, der skal sikre, at den samme besked aldrig krypteres ens to gange. Apereo CAS bruger fejlagtigt altid IV=0 (alle nuller) — det er som at bruge den samme engangsnøgle igen og igen. Det gør det muligt for en angriber at sammenligne krypterede beskeder og udlede den originale tekst.
Er vi omfattet af GDPR-rapporteringspligt, hvis vi er blevet angrebet?
Muligvis. Hvis I behandler personoplysninger via jeres CAS-login, og I har grund til at tro, at en angriber har udnyttet fejlen og fået adgang til sessionsdata, er der potentielt tale om et brud på persondatasikkerheden. Under GDPR skal sådanne brud som udgangspunkt anmeldes til Datatilsynet inden for 72 timer. Kontakt jeres databeskyttelsesrådgiver (DPO) eller juridiske rådgiver for en konkret vurdering.
Beskytter vores firewall eller VPN os mod denne sårbarhed?
En firewall kan reducere risikoen, hvis den begrænser adgangen til login-siden til kendte IP-adresser — men det er kun en midlertidig løsning. Hvis login-siden er offentligt tilgængelig (som den ofte er ved SSO-systemer), beskytter hverken firewall eller VPN mod selve sårbarhedens logik. Den eneste rigtige løsning er opdatering til en rettet version.
Kan vi opdage, om vi allerede er blevet angrebet?
Det er svært, fordi angrebet udnytter data der allerede er tilgængeligt fra den offentlige login-side — selve indsamlingen af tokens efterlader typisk ikke tydelige spor. Det anbefales at gennemgå logfiler for usædvanlige mønstre: mange requests til login-siden fra samme IP, logins fra uventede lokationer eller tidspunkter. Kontakt evt. en sikkerhedsekspert for en nærmere analyse.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Apereo CAS 7.3.0 before 8.0.0-RC6 contains a cryptographic vulnerability that allows remote unauthenticated attackers to recover plaintext conversation state by exploiting AES-GCM initialization vector reuse across the server lifetime. Attackers can collect multiple client-side webflow execution tokens from the unauthenticated login page and perform known-plaintext analysis to decrypt the webflow conversation state due to keystream reuse caused by a fixed all-zero IV paired with the same encryption key.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
