CVE-2017-20260: SQL-injektion i Joomla Price Alert
Kritisk SQL-injektionsfejl i Joomla-udvidelsen Price Alert 3.0.2 giver hackere adgang til din database uden login.
Hvad er det?
CVE-2017-20260 er en sikkerhedsfejl i Joomla-udvidelsen (et tilføjelsesprogram til hjemmesider) kaldet Price Alert version 3.0.2. Fejlen er en såkaldt SQL-injektion, hvilket betyder, at en angriber kan sende ondsindet kode til dit websted og dermed stille spørgsmål direkte til din database — uden at have et brugernavn eller adgangskode. Angriberen udnytter et felt kaldet product_id i udvidelsens abonnementsfunktion til at sende de skadelige kommandoer. Resultatet er, at følsomme oplysninger som brugernavne, adgangskoder og konfigurationsdata kan hentes ud af din database.
Hvem rammer det?
Sårbarheden rammer alle, der driver et Joomla-baseret websted med udvidelsen Price Alert version 3.0.2 installeret og aktiveret. Det er typisk webshops og produktwebsteder, der bruger denne udvidelse til at lade besøgende abonnere på prisadvarsler. Du behøver ikke at have gjort noget forkert — fejlen ligger i selve koden i udvidelsen.
Hvad kan ske?
Hvis en angriber udnytter denne sårbarhed, kan følgende ske:
- Datatyveri: Angriberen kan hente brugernavne, adgangskoder (herunder administratorlogin) og andre følsomme oplysninger fra din database.
- Kontoovertagelse: Med administratoroplysningerne kan angriberen overtage dit websted fuldstændigt.
- Misbrug af kundedata: Kundeoplysninger som e-mailadresser og ordrehistorik kan blive stjålet og misbrugt.
- GDPR-brud: Et datalæk kan udløse krav om anmeldelse til Datatilsynet og potentielle bøder.
Hvor alvorligt er det?
Sårbarheden er vurderet til 8.2 ud af 10 (Alvorlig) ifølge den internationale CVSS-skala. Det er høj alvor af flere grunde: angrebet kræver hverken login, særlige rettigheder eller handling fra dine brugere — en angriber kan angribe automatisk og i stor skala fra internettet. Risikoen for datatyveri er særligt høj, mens risikoen for direkte nedlukning af dit websted er lavere.
Hvad gør jeg nu?
Følg disse trin for at beskytte dit websted hurtigst muligt:
- Tjek om du bruger udvidelsen: Log ind på dit Joomla-backend og gå til Udvidelser → Administrer. Søg efter “Price Alert” og notér versionen.
- Deaktivér udvidelsen midlertidigt: Hvis du kører version 3.0.2, deaktivér udvidelsen med det samme, indtil en opdatering er tilgængelig.
- Kontakt din webmaster eller IT-leverandør: Bed dem bekræfte om udvidelsen er sårbar og hjælpe med at opdatere eller erstatte den.
- Skift adgangskoder: Skift adgangskoden til din Joomla-administrator og din databasebruger som en forholdsregel.
- Gennemgå logfiler: Bed din IT-leverandør tjekke serverlogfiler for tegn på, at nogen allerede har forsøgt at udnytte fejlen.
- Overvej en WAF: En Web Application Firewall (et digitalt sikkerhedslag foran dit websted) kan blokere SQL-injektionsforsøg, mens du afventer en permanent løsning.
Handle inden for 24-48 timer
Deaktivér Price Alert-udvidelsen øjeblikkeligt, hvis du kører version 3.0.2, da der ikke kendes en officiel patch på nuværende tidspunkt. Skift alle administrative adgangskoder som en forholdsregel, og bed din IT-leverandør undersøge om angrebet allerede er forsøgt. Overvej at skifte til en alternativ og aktivt vedligeholdt udvidelse med tilsvarende funktionalitet.
Tidslinje
Konkrete eksempler
Automatiseret scanning finder sårbart websted
En angriber bruger et automatiseret scanningsværktøj til at søge internettet igennem efter Joomla-websteder med Price Alert-udvidelsen installeret. Når et sårbart websted identificeres, sendes der automatisk en ondsindet forespørgsel til udvidelsens abonnementsfunktion med SQL-kode i stedet for et normalt produkt-ID. Inden for sekunder returnerer webstedet databasens brugernavne og krypterede adgangskoder.
Administratoradgang overtages via stjålet login
Via SQL-injektionen henter angriberen den Joomla-administratorkonto, der er gemt i databasen. Adgangskoden er krypteret, men angriberen bruger et online cracking-værktøj til at knække den svage adgangskode. Kort tid efter logger angriberen ind som administrator og installerer ondsindet kode på webstedet, der fx omdirigerer besøgende til phishing-sider.
Kundedata eksporteres og sælges
En angriber udnytter sårbarheden til systematisk at udtrække alle kundeposter fra webbutikkens database — herunder navne, e-mailadresser og købshistorik. Disse data pakkes og sælges videre på mørke hjørner af internettet, hvilket kan resultere i målrettede phishing-angreb mod butikkens kunder og et GDPR-brud med anmeldelsespligt for virksomheden.
Ofte stillede spørgsmål
Skal jeg fjerne Price Alert-udvidelsen helt?
Det er den sikreste løsning, indtil producenten udgiver en opdatering, der lukker hullet. Hvis du har brug for funktionaliteten, kan du midlertidigt deaktivere udvidelsen og søge efter et alternativ. Tal med din webmaster om mulighederne.
Kan jeg se, om nogen allerede har angrebet mit websted?
Det kræver en gennemgang af dine serverlogfiler. Bed din IT-leverandør eller webhost kigge efter usædvanlige forespørgsler til adressen subscribeajax med mistænkelige tegn som citationstegn eller SQL-nøgleord i parametrene. Jo hurtigere, jo bedre.
Hvad er SQL-injektion, og hvorfor er det farligt?
SQL-injektion betyder, at en angriber sniger ondsindede databasekommandoer ind via et normalt inputfelt på dit websted. Det er farligt, fordi databasen ikke kan skelne mellem legitime forespørgsler og de ondsindede — og dermed udleverer følsomme oplysninger uden at stille spørgsmål.
Er mine kunder i fare?
Potentielt ja. Hvis din database indeholder kundeoplysninger som navne, e-mailadresser eller ordredata, kan disse være blevet tilgået. Har du mistanke om et reelt brud, har du som udgangspunkt pligt til at anmelde det til Datatilsynet inden for 72 timer og orientere de berørte kunder.
Kommer der en opdatering til Price Alert?
Der er på nuværende tidspunkt ikke bekræftet en officiel opdatering fra producenten af Price Alert 3.0.2. Hold øje med Joomla’s udvidelseskatalog og producentens hjemmeside for opdateringer. Overvej at skifte udvidelse, hvis der ikke kommer en patch inden for kort tid.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Joomla! Component Price Alert 3.0.2 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the product_id parameter. Attackers can send requests to the subscribeajax view with crafted SQL payloads in the product_id parameter to extract sensitive database information including credentials and configuration data.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
