Tre år usynlig i netværket. Angriberen kontrollerede trafikken.

Tre år usynlig i netværket. Angriberen kontrollerede trafikken.

Dit netværk forbinder alle jeres kontorer, medarbejdere og cloudtjenester. I tre år kontrollerede en ukendt angriber præcis dét system hos organisationer verden over.

Ingen opdagede det.

Alvorlighedsgrad: 10 af 10

I går offentliggjorde en stor netværksleverandør en kritisk sårbarhed i deres SD-WAN-udstyr. Det system, der styrer netværkstrafikken mellem kontorer, cloud og fjernmedarbejdere.

Sårbarheden fik den højeste alvorlighedsscore: 10 ud af 10.

Men det er ikke selve fejlen, der er historien.

Tre år usynlig

Historien er, at en sofistikeret angriber har siddet i organisationers netværk siden 2023.

Angriberen omgik autentificeringen, tilføjede en usynlig “knude” til netværkets kontrolplan og bestemte, hvor al trafik blev sendt hen.

Derefter udnyttede angriberen en ældre sårbarhed til at få fuld kontrol og slettede sporene.

Tre år. Usynlig.

Tre landes myndigheder reagerede

Leverandørens sikkerhedsteam kalder angriberen “en yderst sofistikeret trusselsaktør”. Tre landes cybermyndigheder udsendte advisories samme dag. Det amerikanske cybersikkerhedsagentur gav amerikanske myndigheder 24 timer til at patche.

Det angriberen kontrollerede er kontrolplanet. Den del af netværket, der bestemmer, hvordan al kommunikation flyder. Mails. Filer. Videokonferencer. VPN-forbindelser. Alt.

Danmark er på højeste trusselsniveau

Styrelsen for Samfundssikkerhed fastslog i november 2025, at fremmede stater udnytter kendte sårbarheder i stor stil, og i nogle tilfælde nul-dags-sårbarheder, som ingen endnu kan lappe.

Truslen fra cyberspionage mod Danmark er på højeste niveau: MEGET HØJ.

Ved du, hvad jeres IT-leverandør bruger?

Det, der bør bekymre: Mange ved slet ikke, hvilket SD-WAN-udstyr deres IT-leverandør bruger.

Udstyret er usynligt. Det fungerer. Ingen stiller spørgsmål, før det er for sent.

Og patching fjerner ikke en angriber, der allerede sidder der. Patching lukker døren. Men hvis nogen allerede er inden for, hjælper det ikke.

Tre ting du bør gøre nu

Spørg jeres IT-leverandør: Hvilket SD-WAN-udstyr bruger vi? Er det patchet? Og er der foretaget en undersøgelse for kompromittering? Patching alene er ikke nok, hvis angriberen har været der i tre år.

Kræv at management-interfaces for netværksudstyr aldrig er direkte eksponeret mod internettet. Det er den indgangsvektor, angribere scanner efter først. Hvis administrationsadgangen er åben mod internettet, er døren åben.

Stil krav til jeres leverandør om dokumentation. Hvornår blev netværksudstyret sidst opdateret? Er logfiler gennemgået for uautoriserede forbindelser? Hvis de ikke kan svare, ved de det sandsynligvis ikke.

Folketingsvalg og cybertrusler

I dag udskrev statsministeren folketingsvalg.

Under kommunalvalget i november 2025 lagde pro-russiske hackere flere partiers hjemmesider ned med overbelastningsangreb. Forsvarets Efterretningstjeneste attribuerede angrebene til Rusland, og Danmark indkaldte den russiske ambassadør.

Der er ingen grund til at tro, at folketingsvalget bliver anderledes. Tværtimod.

Fremmedstatspåvirkning er reel

SAMSIK lancerede i denne uge kampagnen “Hvem former dine holdninger?” om fremmedstatspåvirkning. Cyberangreb mod kritisk infrastruktur og partiorganisationers netværk er en del af den værktøjskasse.

De næste fire uger kører danske myndigheder, partier og organisationer på netværksinfrastruktur, som en angriber potentielt har kontrolleret i flere år uden at nogen opdagede det.

Usynligt udstyr, usynlige angribere

SD-WAN-udstyr er det, der forbinder jeres kontorer, jeres cloud og jeres fjernmedarbejdere. Det er fundamentet for al kommunikation.

Hvis det udstyr er kompromitteret, kan en angriber se alt. Omdirigere alt. Kopiere alt.

Og I ville aldrig vide det.

Få gennemgået jeres netværksinfrastruktur

En teknisk sikkerhedsgennemgang kortlægger, hvilket netværksudstyr I faktisk bruger, om det er opdateret, og om der er tegn på kompromittering.

Et leverandøraudit afslører, hvad jeres IT-leverandør har installeret, og om de kan dokumentere, at det er sikkert.

Og en cybersikkerhedsaudit giver jer det samlede billede af jeres sikkerhedsposition, inklusiv den netværksinfrastruktur, som ingen stiller spørgsmål til, før det er for sent.

Tre år usynlig. Ved du, hvad der sidder i jeres netværk?

Har du brug for at få gennemgået jeres netværksinfrastruktur? Kontakt Nielco IT på telefon 70 13 63 23 eller via kontaktformularen.

John Nielsen

Skal jeg kontakte dig?

Eller kontakt os på

+45 70 13 63 23

info@nielcoit.dk

Udfyld formularen - så tager vi en hurtig og uforpligtende snak om, hvordan jeg kan hjælpe.

Seneste på bloggen

Data i Finland er ikke det samme som finsk jurisdiktion

Data i Finland er ikke det samme som finsk jurisdiktion

En finsk AI-tjeneste til jurabranchen markedsføres på europæisk dataopbevaring. Modellen er europæisk. Data ligger i Finland. Ingen træning på brugerens forespørgsler. Det lyder rigtigt. Men da jeg efterprøvede det mod deres egen dokumentation, manglede der ét lag....

Verdens største annoncekoncern bestemmer nu din adblocker.

Verdens største annoncekoncern bestemmer nu din adblocker.

Verdens største annoncekoncern tjener over 200 milliarder dollar om året på reklamer. Fra den 30. juni bestemmer den også, om du må blokere dem i din browser. Sidste flag fjernes Den 30. juni lander version 150 af verdens mest brugte browser. Med den fjernes det...