CVE-2017-20256: SQL-fejl i Joomla Survey Force Deluxe
Kritisk SQL-fejl i Joomla-tilføjelse giver hackere adgang til din database uden login – opdater straks.
Hvad er det?
CVE-2017-20256 er en SQL-injektionssårbarhed (en fejl hvor angribere kan sende skadelige databasekommandoer) i Joomla-tilføjelsen Survey Force Deluxe version 3.2.4. Fejlen sidder i et parameter kaldet invite, som tilføjelsen bruger til at håndtere spørgeskemainvitationer. En angriber kan sende en særligt konstrueret webforespørgsel til din hjemmeside og derigennem trække oplysninger ud af din database – helt uden at have et brugernavn eller adgangskode. Det kræver ingen teknisk adgang i forvejen og kan udføres automatisk af hackere, der scanner internettet for sårbare sider.
Hvem rammer det?
Sårbarheden rammer alle virksomheder og organisationer, der driver en Joomla-hjemmeside med Survey Force Deluxe version 3.2.4 installeret. Det kan være webshops, foreninger, kommuner eller SMV’er, der bruger tilføjelsen til at lave spørgeskemaer eller tilfredshedsundersøgelser. Hvis din hjemmeside kører på Joomla, bør du tjekke, om denne tilføjelse er installeret – uanset om den er aktiv eller ej.
Hvad kan ske?
En angriber kan udnytte fejlen til at læse hele indholdet af din database. Det betyder, at følgende kan kompromitteres:
- Brugernavne, e-mailadresser og adgangskoder (ofte krypterede, men ikke altid)
- Kundeoplysninger og kontaktdata
- Indhold fra formularer og spørgeskemaer, fx svar fra medarbejdere eller kunder
- Interne konfigurationsoplysninger om din hjemmeside
Angriberen kan også forsøge at ændre data i din database, selvom det primære risikoscenarie er datatyveri. Et datalæk kan udløse krav om anmeldelse til Datatilsynet og potentielle bøder under GDPR.
Hvor alvorligt er det?
Sårbarheden er vurderet til en CVSS-score på 8,2 ud af 10, hvilket klassificeres som alvorlig. Det er særligt bekymrende af tre årsager:
- Ingen login krævet: Enhver på internettet kan forsøge angrebet uden at kende brugernavn eller adgangskode.
- Lav teknisk sværhedsgrad: Angrebet er enkelt at udføre og kan automatiseres.
- Høj fortrolighedsrisiko: Hele databasens indhold kan potentielt afsløres.
Kun manglende risiko for nedbrud af hjemmesiden (tilgængelighed) trækker scoren en smule ned.
Hvad gør jeg nu?
Følg disse trin for at beskytte din Joomla-hjemmeside hurtigst muligt:
- Tjek om du er ramt: Log ind i Joomlas administrator-panel og gå til Udvidelser → Administrer. Søg efter “Survey Force Deluxe” og notér versionsnummeret.
- Opdater tilføjelsen: Tjek udviklernes hjemmeside eller Joomlas udvidelsesbibliotek for en opdateret version, der lukker fejlen. Installer den straks.
- Deaktiver midlertidigt hvis ingen patch: Hvis der ikke er en opdatering tilgængelig, deaktiver eller afinstaller tilføjelsen, indtil en rettelse foreligger.
- Gennemgå dine logs: Bed din webhost eller IT-support om at gennemgå serverlogfiler for mistænkelige GET-forespørgsler til den pågældende komponent.
- Skift adgangskoder: Nulstil adgangskoder for alle Joomla-administratorer og overvej at rotere databaseadgangskoder.
- Vurder GDPR-forpligtelse: Hvis der er tegn på, at data er blevet hentet, skal du overveje anmeldelse til Datatilsynet inden for 72 timer.
Opdater inden for 24-48 timer
Auroa anbefaler, at du straks undersøger, om Survey Force Deluxe er installeret på din Joomla-hjemmeside, og i givet fald opdaterer til en sikker version. Sårbarhedens lave angrebskompleksitet gør den oplagt for automatiserede scanningsværktøjer, som hackere bruger døgnet rundt. Har du ikke intern IT-support, er du velkommen til at kontakte os – vi kan hjælpe med at vurdere din eksponering og gennemgå dine logs for tegn på misbrug.
Tidslinje
Konkrete eksempler
Automatiseret datahøst via søgerobot
En hacker sætter et automatiseret script op, der scanner tusindvis af Joomla-hjemmesider for Survey Force Deluxe-komponenten. Når scriptet finder din side, sender det en GET-forespørgsel med en skjult SQL-kommando i invite-parametret. På få sekunder trækker scriptet hele din brugerdatabase ud – inklusiv e-mailadresser og krypterede adgangskoder – og gemmer dem til videresalg på dark web.
Målrettet angreb mod kundedata
En konkurrent eller kriminel aktør ved, at din virksomhed bruger Joomla, og tester manuelt om Survey Force Deluxe er installeret. Via et simpelt browserværktøj konstruerer angriberen en URL med en SQL-payload i invite-feltet og sender den til din server. Serveren returnerer indholdet af din kundetabel med navne, adresser og ordrehistorik, som angriberen kan bruge til phishing eller afpresning.
Springbræt til videre kompromittering
Angriberen udnytter SQL-injektionen til at hente Joomla-administratorens krypterede adgangskode fra databasen. Med et cracking-program gætter angriberen adgangskoden offline og logger derefter ind som administrator på din hjemmeside. Herfra kan angriberen installere malware, omdirigere besøgende til svindelsider eller kryptere dine filer med ransomware.
Ofte stillede spørgsmål
Hvordan ved jeg, om min hjemmeside bruger Survey Force Deluxe?
Log ind i dit Joomla administrator-panel (typisk på dinside.dk/administrator). Gå til Udvidelser → Administrer og søg på “Survey Force”. Hvis tilføjelsen vises med version 3.2.4, er du potentielt sårbar. Er du usikker, kan din webhost eller en IT-konsulent hjælpe dig med at tjekke.
Kan hackere allerede have fået adgang til mine data?
Det er muligt, men ikke sikkert. Du bør bede din webhost om at gennemgå serverlogfiler og lede efter usædvanlige GET-forespørgsler til Survey Force-komponenten. Unormalt høj trafik til den pågældende URL eller forespørgsler med mærkelige tegn (fx citationstegn, SQL-nøgleord) kan være tegn på et angrebsforsøg.
Skal jeg anmelde det til Datatilsynet?
Kun hvis du har konkrete tegn på, at persondata faktisk er blevet tilgået eller kopieret. Hvis du opdager et brud, har du som udgangspunkt 72 timer til at anmelde det til Datatilsynet under GDPR. Er du i tvivl, anbefaler vi at søge juridisk rådgivning eller kontakte Datatilsynets vejledningsenhed.
Er det nok at deaktivere tilføjelsen i stedet for at afinstallere den?
Deaktivering er bedre end ingenting, men afinstallation er den sikreste løsning, hvis du ikke har brug for tilføjelsen. En deaktiveret udvidelse kan i visse Joomla-konfigurationer stadig have tilgængelige filer på serveren. Slet tilføjelsen helt, hvis du ikke aktivt bruger den.
Hvad er SQL-injektion, og hvorfor er det farligt?
SQL-injektion betyder, at en angriber kan “snige” egne databasekommandoer ind i de forespørgsler, din hjemmeside sender til databasen. Tænk på det som at skrive et ekstra spørgsmål på en formular, som systemet naivt videresendt til banken. Resultatet kan være, at angriberen kan læse, ændre eller slette data i din database uden tilladelse.
Hvad koster det at få hjælp til at sikre min hjemmeside?
Det afhænger af opgavens omfang. En grundlæggende gennemgang af din Joomla-installation, loganalyse og sikring kan typisk klares på få timer. Kontakt Auroa for et uforpligtende tilbud – vi hjælper SMV’er med at få overblik uden unødigt store omkostninger.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Joomla Survey Force Deluxe 3.2.4 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the invite parameter. Attackers can send GET requests to the component with crafted SQL payloads in the invite parameter to extract sensitive database information.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
