CVE-2017-20254: SQL-injektion i Joomla User Bench 1.0
Kritisk SQL-injektionsfejl i Joomla-komponenten User Bench 1.0 giver angribere adgang til hele din database uden login.
Hvad er det?
CVE-2017-20254 er en SQL-injektionssårbarhed (en fejl hvor ondsindet kode kan sættes ind i databaseforespørgsler) i tilføjelseskomponenten User Bench 1.0 til hjemmesidesystemet Joomla!. Fejlen sidder i en URL-parameter kaldet userid. En angriber kan sende en særligt udformet webadresse til din hjemmeside og narre systemet til at udføre vilkårlige kommandoer direkte i din database. Det kræver ingen brugernavn, adgangskode eller særlige rettigheder — alle på internettet kan forsøge angrebet. Resultatet er, at angriberen kan trække følsomme oplysninger ud af databasen, herunder brugernavne, adgangskoder og konfigurationsdata.
Hvem rammer det?
Sårbarheden rammer dig, hvis du driver en hjemmeside bygget på Joomla! og har installeret komponenten User Bench version 1.0. Det er typisk relevant for:
- Virksomheder med Joomla-baserede hjemmesider eller kundeportaler
- Foreninger og organisationer der bruger Joomla til medlemshåndtering
- Webshops eller platforme der har udvidet Joomla med tredjepartskomponenter
Er du usikker på, om du bruger denne komponent, kan din webmaster eller it-leverandør hurtigt tjekke det for dig.
Hvad kan ske?
Hvis en angriber udnytter denne sårbarhed, kan de:
- Stjæle loginoplysninger — brugernavne og krypterede (eller ukrypterede) adgangskoder fra alle brugere på hjemmesiden
- Hente fortrolige data — kundeoplysninger, konfigurationsindstillinger og andre data gemt i databasen
- Bruge stjålne adgangskoder andre steder — mange brugere genbruger passwords, så et databrud her kan åbne døre til e-mail, netbank og andre systemer
- Forberede yderligere angreb — med databaseadgang kan angriberen kortlægge systemet og eskalere angrebet
Angrebet efterlader ikke nødvendigvis synlige spor, og du opdager det måske ikke uden aktiv overvågning.
Hvor alvorligt er det?
Sårbarheden er vurderet til 8,2 ud af 10 (Alvorlig) efter den internationale CVSS-skala. Det skyldes primært:
- Ingen login kræves — alle på internettet kan angribe uden forudgående adgang
- Lav angrebskompleksitet — det kræver ingen specialviden at udnytte fejlen; værktøjer til SQL-injektion er frit tilgængelige
- Høj fortrolighed på spil — angriberen kan læse hele databasens indhold
Angrebsvektoren er netværk, hvilket betyder angrebet kan gennemføres fra hvor som helst i verden. Der er dog ingen direkte risiko for at angriberen kan slette data eller tage kontrol over serveren via denne specifikke fejl alene.
Hvad gør jeg nu?
Hvis du bruger Joomla! med komponenten User Bench 1.0, bør du handle hurtigt. Her er hvad du gør:
- Find ud af om du er ramt — bed din webmaster eller it-leverandør om at tjekke, om User Bench 1.0 er installeret på din Joomla-side.
- Deaktiver eller afinstaller komponenten — hvis du ikke aktivt bruger User Bench, skal den fjernes øjeblikkeligt. En deaktivering er ikke nok; komponenten skal afinstalleres helt.
- Tjek om der er en opdatering — undersøg om udvikleren bag User Bench har udgivet en ny version der retter fejlen. Installer i så fald opdateringen.
- Gennemgå dine logfiler — bed din webmaster om at tjekke serverlogfiler for mistænkelige forespørgsler med
option=com_userbenchfor at se, om nogen allerede har udnyttet fejlen. - Skift adgangskoder — som en sikkerhedsforanstaltning bør alle administratorer og brugere på siden skifte deres adgangskoder, særligt hvis der er tegn på angreb.
- Overvej en Web Application Firewall (WAF) — et ekstra beskyttelseslag der kan blokere SQL-injektionsforsøg, selv mod ukendte sårbarheder fremover.
Afinstaller komponenten inden for 24 timer
Vores klare anbefaling er at afinstallere User Bench 1.0 øjeblikkeligt, medmindre du har et kritisk behov for komponenten. Kontakt din webmaster eller Auroa i dag for at få verificeret om du er påvirket, og for at få gennemgået dine logfiler for tegn på tidligere angreb. SQL-injektionssårbarheder som denne er velkendte og nemme at udnytte med frit tilgængelige hackingværktøjer — det er ikke et spørgsmål om om nogen vil forsøge, men hvornår.
Tidslinje
Konkrete eksempler
Angriberen trækker alle brugerlogins ud
En angriber sender en automatiseret forespørgsel til din Joomla-hjemmeside med en URL som /index.php?option=com_userbench&view=detail&userid=1 UNION SELECT username,password FROM jos_users--. Systemet tolker dette som en gyldig databaseforespørgsel og returnerer alle brugernes brugernavne og krypterede adgangskoder. Angriberen kan derefter forsøge at knække de krypterede adgangskoder med specialiserede programmer og bruge dem til at logge ind på din Joomla-side som administrator eller til at tilgå andre systemer, hvor brugerne genbruger samme adgangskode.
Automatiseret masseafskanning finder din side
Kriminelle grupper kører automatiserede scannere der konstant afsøger internettet for kendte sårbarheder i Joomla-komponenter. Inden for timer efter CVE-offentliggørelsen kan din hjemmeside være identificeret som sårbar, og angrebsforsøgene begynder automatisk. Du behøver ikke at være et mål — du bliver et offer fordi systemet er sårbart, ikke fordi nogen har udvalgt dig specifikt.
Kundedata sælges på dark web
En angriber udnytter fejlen til at eksportere hele din kundetabel fra databasen, inklusiv navne, e-mailadresser og eventuelle gemte betalingsoplysninger. Disse data pakkes og sælges på lukkede online markeder. Konsekvensen for din virksomhed kan være bøder under GDPR (databeskyttelsesforordningen), krav om notifikation til Datatilsynet inden 72 timer samt tab af kundernes tillid.
Ofte stillede spørgsmål
Hvordan ved jeg, om min hjemmeside bruger User Bench 1.0?
Log ind på din Joomla-administrationspanel og gå til Udvidelser → Administrer. Søg efter ‘User Bench’ i listen. Alternativt kan du bede din webmaster eller it-leverandør om at tjekke det for dig — det tager typisk under fem minutter.
Er det nok at deaktivere komponenten i stedet for at slette den?
Nej. Deaktivering er ikke tilstrækkeligt. Selve PHP-filerne bag komponenten ligger stadig på serveren og kan tilgås direkte af en angriber, selv hvis komponenten er slået fra i Joomla. Du skal afinstallere komponenten fuldstændigt via Joomla’s komponenthåndtering.
Kan jeg se, om nogen allerede har angrebet min side?
Ja, det er muligt med en gennemgang af serverens adgangslogfiler (access logs). Din webmaster skal søge efter forespørgsler der indeholder
com_userbenchkombineret med SQL-nøgleord somUNION,SELECTeller'(enkelt anførselstegn). Auroa kan hjælpe med denne analyse, hvis du er usikker.Skal jeg bekymre mig om det, hvis jeg ikke bruger Joomla?
Nej. Denne sårbarhed er udelukkende relevant for Joomla-hjemmesider med den specifikke User Bench 1.0-komponent installeret. Bruger du WordPress, Umbraco, en statisk hjemmeside eller et andet CMS, er du ikke berørt af netop denne CVE.
Hvad er SQL-injektion, og hvorfor er det farligt?
SQL-injektion er en angrebsmetode, hvor en angriber smugler ondsindet kode ind i et inputfelt eller en webadresse. Koden bliver fejlagtigt tolket som en legitim databasekommando, og systemet udfører den. Det er farligt fordi det kan give angriberen direkte adgang til at læse, ændre eller slette alt indhold i din database — herunder kundedata og loginoplysninger.
Kan en Web Application Firewall (WAF) beskytte mig mod denne fejl?
En WAF (et filter der overvåger og blokerer mistænkelig internettrafik til din hjemmeside) kan reducere risikoen markant ved at genkende og blokere typiske SQL-injektionsmønstre. Det er dog ikke en permanent løsning — den rigtige løsning er at fjerne den sårbare komponent. En WAF er et godt ekstra lag oven på en opdateret og renset hjemmeside.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Joomla! Component User Bench 1.0 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the userid parameter. Attackers can send GET requests to index.php with the option=com_userbench&view=detail&userid parameter containing SQL injection payloads to extract sensitive database information including credentials and configuration data.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
