Varsel om cybertrusler og sårbarheder uge 26

 Påvirkede produkter

• Splunk Enterprise
• Joomla Content Editor Widget Factory
• LiteSpeed cPanel Plugin
• Cisco Catalyst SD-WAN Manager
• Fortinet FortiGate

Alvorlighed: Medium til kritisk

Det er vigtigt, at du handler, hvis du benytter et eller flere af produkterne ovenfor. Hvis den relevante sårbarhed bliver udnyttet, vil det kunne få store konsekvenser.

Handling

Opdatér programmerne, hvis de ikke opdateres automatisk. Hvis du ikke ved hvordan produkterne opdateres, så kontakt din it-leverandør.

Hvis produkterne ikke længere modtager sikkerhedsopdateringer, anbefales det at stoppe med at anvende produkterne.

Undersøg om I er blevet kompromitteret.

Detaljeret overblik

Splunk Enterprise

CVE-2026-20253 er en sårbarhed i Splunk Enterprise, som gør det muligt for en angriber at lave eller slette filer uden autentifikation. Dette er muligt grundet en fejl i en service til PostgreSQL, som kan tilgås uden autentifikationskontrol.

Alvorlighed: Kritisk (CVSS 9.8)

Kilde:

• advisory.splunk.com/advisories/SVD-2026-0603
• nvd.nist.gov/vuln/detail/CVE-2026-20253

Handling udover at opdatere:

Hvis ikke softwaren kan opdateres, kan der for nuværende implementeres de mitigerende foranstaltninger, der er beskrevet i afsnittet ”Mitigations and Workaround” i Splunk’s advisory ovenfor.

Joomla Content Editor Widget Factory

CVE-2026-48907 er en sårbarhed i udvidelsen ”Widget Factory” til Joomla, som muliggør, at en angriber kan lave nye redaktør-profiler. Dette medfører, at der kan køres skadelig kode uden autentifikation.

Alvorlighed: Kritisk (CVSS 9.8)

Kilde: 

• joomlacontenteditor.net/news/jce-security-update-and-a-free-patch-for-older-sites
• joomlacontenteditor.net/support/changelog/editor
• nvd.nist.gov/vuln/detail/CVE-2026-48907

Handling udover at opdatere:

Du kan tjekke for kompromittering ved at undersøge parametre, der er beskrevet i ”Checking your site” og ”Suspicious Files” i Joomla’s advisory ovenfor.

Hvis ikke softwaren kan opdateres, kan der for nuværende implementeres de mitigerende foranstaltninger i afsnittet ”For sites that cannot update” i samme advisory.

LiteSpeed cPanel Plugin

CVE-2026-54420 er sårbarhed i LiteSpeed cPanel Plugin, som muliggør, at en angriber kan opnå root-adgang på servere med CloudLinux/CageFS, givet at angriberen har FTP-adgang.

Alvorlighed: Høj (CVSS 8.5)

Kilde:

• blog.litespeedtech.com/2026/06/01/security-update-for-litespeed-cpanel-plugin-2
• nvd.nist.gov/vuln/detail/CVE-2026-54420

Handling udover at opdatere:

Hvis ikke softwaren kan opdateres, kan der for nuværende implementeres de mitigerende foranstaltninger i afsnittet ”For sites that cannot update” i LiteSpeed’s blog.

Cisco Catalyst SD-WAN Manager

CVE-2026-20262 er en sårbarhed i Cisco Catalyst SD-WAN Manager. Sårbarheden lader en allerede autentificeret bruger udføre path traversal, og derigennem tilgå filsystemer vedkommende ikke har ret til. Derefter kan angriberen oprette nye filer eller overskrive eksisterende filer på det berørte system.

Alvorlighed: Medium (CVSS 6.5)

Kilde:

• sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-arbfw-c2rZvQ
• nvd.nist.gov/vuln/detail/CVE-2026-20262

Handling udover at opdatere:

Du kan tjekke for kompromittering ved at undersøge parametre, der er beskrevet i ”Indicators of Compromise” i Cisco’s advisory ovenfor.

Særlig besked:

Der har været en cyberkampagne målrettet Fortinet. Angriberne har målrettet angrebet mod firewalls og VPN gateways, og lækket loginoplysninger. Disse lækkede oplysninger kan blive forsøgt brudt via bruteforce-angreb, dictionary attacks og credential stuffing, og derefter blive forsøgt udnyttet på internetvendte Fortinet-firewalls og -VPN-gateways.

Du kan benytte disse to opslagsværker til at undersøge om din virksomhed er blevet ramt:

• socradar.io/free-tools/fortibleed
• hudsonrock.com/fortinet

Det er muligt at der fremgår falske positiver på de førnævnte ressourcer. Undersøg om du er kompromitteret ved at undersøge indicators of compromise på Fortinets forum her: 

• community.fortinet.com/fortigate-3/technical-tip-collect-indicators-of-compromise-ioc-debugs-on-a-fortigate-vdom-and-non-vdom-manually-177342 

Hvis du tror du er blevet kompromitteret, kan du følge guiden på Fortinets hjemmeside her:

• fortinet.com/blog/psirt-blogs/analysis-of-reported-credential-compromise-of-fortigate-devices
• community.fortinet.com/fortigate-3/technical-tip-recommended-steps-to-execute-in-case-of-a-compromised-host-118585

Når integriteten af netværket er bekræftet, kan du med fordel sikre dig at:

1. administratorgrænseflader ikke er internetvendt
2. enheden er opdateret til den nyeste version
3. skift passwords benyttet til Fortinet firewall eller VPN og sørg for ikke at genbruge tidligere passwords
4. implementér MFA på VPN- og administratorlogins
5. Slå PBKDF2 til for administratorgrænsefladen, og tving logoff for alle administratorer så de skal logge ind igen.

Øvrige ressourcer 

• Styrelsen for Samfundssikkerheds ordforklaringer: samsik.dk/cybersikkerhed/ordforklaringer/
• Styrelsen for Samfundssikkerheds trusselsvurderinger: samsik.dk/cybersikkerhed/trusselsvurderinger/

 Vi justerer løbende på formatet og hører meget gerne fra dig, hvis du har feedback.

Baggrund

Dette et er varsel om udnyttede sårbarheder i software. Varslet kan anvendes til at prioritere patchning af virksomhedens systemer.

Første del er oversigten over systemer, som virksomheden bør prioritere højt at opdatere. Afsnittet ”Detaljeret overblik” er en mere dybdegående oversigt over sårbarhederne og deres konsekvenser.

Varslet er baseret på den amerikanske cyber- og infrastruktursmyndighed CISA^1. Specifikt er deres KEV²-kartotek blevet anvendt. Særlige beskeder kan nævne forhold, der går ud over KEV-kataloget.

Sårbarhederne er noteret med deres CVE³-nummer og deres CVSS⁴-score. CVE-nummeret er henvisning til CVE-kataloget, hvor sårbarheden er registreret. CVSS-scoren er en numerisk værdi, der vurderer kritikaliteten af sårbarheden.

Nedenfor er en tabel, der angiver alvorligheden af forskellige CVSS-intervaller.

_Fodnoter:

_{1 Cybersecurity and Infrastructure Security Agency}

_{2 Known Exploits and Vulnerabilities}

_{3 Common Vulnerabilities and Exploits}

_{4 Common Vulnerability Severity Score}