CVE-2017-20265: SQL-injektion i Joomla! Flip Wall 8.0
Kritisk SQL-injektionsfejl i Joomla!-komponenten Flip Wall 8.0 giver angribere adgang til din database uden login.
Hvad er det?
CVE-2017-20265 er en sikkerhedsfejl i Flip Wall 8.0, en tredjeparts-komponent til hjemmesider bygget på Joomla! (et populært CMS-system til at drive hjemmesider). Fejlen er en såkaldt SQL-injektion, som betyder at en angriber kan sende særligt udformede forespørgsler til din hjemmeside og derved narre systemet til at udlevere data fra din database. Angrebet kræver ikke, at angriberen er logget ind — det er nok at sende en simpel webanmodning til en bestemt adresse på din hjemmeside. Fejlen er klassificeret som alvorlig med en CVSS-score på 7.1 ud af 10.
Hvem rammer det?
Fejlen rammer alle virksomheder og organisationer, der driver en Joomla!-hjemmeside med komponenten Flip Wall 8.0 installeret og aktiveret. Det kan fx være:
- Webshops eller virksomhedshjemmesider bygget på Joomla!
- Foreninger, skoler eller offentlige institutioner med Joomla!-løsninger
- Hjemmesider driftet af et eksternt bureau, hvor du måske ikke selv er klar over hvilke komponenter der er installeret
Har du ikke Flip Wall installeret, er du ikke sårbar over for netop denne fejl.
Hvad kan ske?
En angriber, der udnytter fejlen, kan trække følsomme oplysninger ud af din database. Det kan konkret betyde:
- Datalæk: Brugernavne, adgangskoder (hashes), e-mailadresser og andre persondata kan afsløres
- Brud på GDPR: Hvis persondata kompromitteres, har du pligt til at anmelde det til Datatilsynet inden for 72 timer
- Tab af forretningshemmeligheder: Indhold i databasen — fx ordrer, kundedata eller interne notater — kan læses af uvedkommende
- Yderligere angreb: Adgang til databasen kan i nogle tilfælde bruges som springbræt til at ændre indhold på hjemmesiden
Angriberen behøver ikke gøre noget kompliceret — et enkelt link er nok til at starte angrebet.
Hvor alvorligt er det?
Sårbarheden har en CVSS-score på 7.1 (Alvorlig). Den er nem at udnytte: angrebet foregår over internettet, kræver ingen særlige tekniske færdigheder og kræver ikke, at angriberen er logget ind. Det eneste, der kræves, er at en bruger interagerer med siden — fx ved blot at besøge den. Konsekvensen er primært læk af fortrolige data fra databasen, hvilket kan have både juridiske og omdømmemæssige konsekvenser for din virksomhed.
Hvad gør jeg nu?
Følg disse trin for at beskytte din hjemmeside hurtigst muligt:
- Find ud af om du er berørt: Log ind på dit Joomla!-backend og tjek under Udvidelser → Administrer, om Flip Wall 8.0 er installeret.
- Kontakt din webudvikler eller bureau: Hvis du ikke selv administrerer hjemmesiden, så kontakt dem der gør, og bed dem tjekke og handle inden for 24-48 timer.
- Opdater eller afinstaller komponenten: Tjek om der findes en nyere version af Flip Wall. Hvis ikke, så deaktiver og afinstaller komponenten straks, indtil en sikret version er tilgængelig.
- Gennemgå dine logs: Bed din webhost eller webudvikler om at tjekke serverlogfiler for mistænkelige forespørgsler til index.php?option=com_flipwall, som kan indikere at nogen allerede har forsøgt et angreb.
- Skift adgangskoder: Nulstil adgangskoder til Joomla!-admin og databasebrugere som en sikkerhedsforanstaltning.
- Vurder om der er sket et databrud: Hvis du har mistanke om at data er blevet tilgået, skal du kontakte din databehandler og vurdere en eventuel GDPR-anmeldelse til Datatilsynet.
Handl inden for 24-48 timer
Vores klare anbefaling er at deaktivere og afinstallere Flip Wall 8.0-komponenten øjeblikkeligt, indtil udvikleren udgiver en rettet version. SQL-injektionsfejl som denne er velkendte og nemme at udnytte med automatiserede scanningsværktøjer — din hjemmeside kan være et mål, selv uden at nogen specifikt har sigtet mod dig. Kontakt din webudvikler i dag, og få klarlagt om I allerede er blevet scannet eller angrebet.
Tidslinje
Konkrete eksempler
Automatiseret scanning finder sårbare Joomla!-sites
En angriber bruger et automatiseret scanningsværktøj til at lede efter Joomla!-hjemmesider med Flip Wall installeret ved at sende forespørgsler til index.php?option=com_flipwall&task=click&wallid=1. Når et sårbart site er fundet, injiceres SQL-kode i wallid-parameteren for automatisk at udtrække databaseindhold — herunder brugernavne og adgangskoder — uden at nogen opdager det.
Kundedata fra en webshop eksponeres
En mindre webshop bygget på Joomla! har Flip Wall installeret som en del af en gammel skabelon. En angriber opdager dette og bruger SQL-injektionen til at udtrække en tabel med kundeordrer, navne, adresser og krypterede betalingsoplysninger. Virksomheden opdager ikke bruddet, før kunder begynder at rapportere mistænkelig aktivitet på deres konti.
Adgangskoder til admin-panel stjæles
Via SQL-injektionen trækker en angriber Joomla!-administratorens adgangskode-hash ud af databasen. Hashen knækkes med et standardværktøj, og angriberen logger ind på admin-panelet med fuld adgang — og kan nu ændre indhold, installere bagdøre eller låse ejeren ude af sin egen hjemmeside.
Ofte stillede spørgsmål
Hvad er SQL-injektion?
SQL-injektion er en angrebsmetode, hvor en angriber indsætter ondsindet kode i en forespørgsel, som din hjemmeside sender til databasen. Databasen kan ikke skelne den ondsindede kode fra legitime kommandoer og udfører den — og angriberen kan dermed læse, ændre eller slette data. Det er en af de mest udbredte og kendte typer af webangreb.
Skal der en bruger til at hjælpe angriberen?
Svaret er delvist ja. Ifølge sårbarheden kræves der en form for brugerinteraktion (UI:R i teknisk sprog), men det betyder typisk blot at en bruger besøger en bestemt side eller klikker et link. Angriberen kan i praksis lokke en besøgende til at aktivere angrebet, fx via en e-mail med et link eller en annonce.
Er vi forpligtet til at anmelde det til Datatilsynet?
Kun hvis I har konstateret eller har begrundet mistanke om, at persondata faktisk er blevet tilgået af uvedkommende. I så fald skal I anmelde bruddet til Datatilsynet inden for 72 timer efter I bliver opmærksomme på det — det er et krav under GDPR. Kontakt evt. en juridisk rådgiver, hvis I er i tvivl.
Vi bruger Joomla! men ved ikke om vi har Flip Wall installeret — hvad gør vi?
Log ind på dit Joomla!-administrationspanel og gå til Udvidelser → Administrer. Her kan du søge efter ‘Flip Wall’. Hvis du ikke selv har adgang, så kontakt den person eller det bureau, der driver din hjemmeside, og bed dem tjekke det for dig — helst i dag.
Kan vi bare lade komponenten ligge deaktiveret i stedet for at afinstallere?
En deaktiveret komponent er bedre end en aktiv, men den sikreste løsning er at afinstallere den helt, indtil en rettet version er tilgængelig. Deaktivering reducerer risikoen markant, men fjerner den ikke fuldstændigt i alle Joomla!-konfigurationer. Afinstallér komponenten, hvis I ikke aktivt bruger den.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Joomla! Component Flip Wall 8.0 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the wallid parameter. Attackers can send GET requests to index.php with the option=com_flipwall&task=click&wallid parameter containing SQL injection payloads to extract sensitive database information.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
