CVE-2017-20281: SQL-fejl i Joomla Extra Search 2.2.8
Kritisk SQL-fejl i Joomla-tilføjelse lader hackere læse hele din database uden at logge ind.
Hvad er det?
CVE-2017-20281 er en SQL-injektionssårbarhed (en fejl der lader angribere manipulere databaseforespørgsler) i Joomla-tilføjelsen Extra Search version 2.2.8. Fejlen sidder i et søgefelt kaldet establename, som ikke tjekker brugerinput ordentligt. Det betyder, at en angriber kan sende en særligt udformet webadresse til din hjemmeside og tvinge databasen til at udlevere følsomme oplysninger — uden at have brugernavn eller adgangskode. Angrebet kræver ingen teknisk adgang til din server og kan udføres af hvem som helst på internettet.
Hvem rammer det?
Sårbarheden rammer dig, hvis din virksomhed har en Joomla-baseret hjemmeside med tilføjelsen Extra Search i version 2.2.8 installeret. Det er typisk relevant for:
- SMV’er med ældre Joomla-hjemmesider bygget af et bureau
- Foreninger og organisationer med selvadministrerede Joomla-sider
- Webshops eller portaler der bruger Joomla med tredjeparts-tilføjelser
Hvis du er usikker på, om din hjemmeside bruger Joomla eller denne tilføjelse, bør du kontakte din webansvarlige eller leverandør.
Hvad kan ske?
En angriber der udnytter fejlen kan:
- Læse hele din database — herunder kundeoplysninger, ordredata og interne notater
- Stjæle brugernavne og adgangskoder (krypterede eller ej) fra Joomla-administratorer og brugere
- Eksponere personoplysninger som e-mailadresser, telefonnumre og adresser — med potentielle GDPR-konsekvenser til følge
- Bruge de hentede oplysninger som springbræt til yderligere angreb, f.eks. overtagelse af administratorkontoen
Angrebet efterlader ikke nødvendigvis synlige spor og kan foregå i det skjulte over tid.
Hvor alvorligt er det?
Sårbarheden er vurderet til CVSS-score 8.2 ud af 10 (Alvorlig). Den scorer højt fordi:
- Angrebet kan udføres over internettet uden login eller særlige rettigheder
- Det kræver ingen interaktion fra brugere på din side
- Angreber kan hente store mængder fortrolige data fra din database
Den eneste begrænsende faktor er, at angriberen ikke direkte kan ændre eller slette data (lav integritetspåvirkning) og ikke kan nedlægge din hjemmeside (ingen tilgængelighedspåvirkning). Fortroligheden af dine data er dog i høj risiko.
Hvad gør jeg nu?
Følg disse trin hurtigst muligt for at beskytte din hjemmeside:
- Find ud af om du er berørt: Log ind på din Joomla-administrator (typisk dinside.dk/administrator) og tjek under Udvidelser, om Extra Search version 2.2.8 er installeret.
- Opdater eller afinstaller tilføjelsen: Undersøg om der findes en nyere version af Extra Search. Hvis ikke, deaktiver og afinstaller tilføjelsen midlertidigt, indtil en opdatering foreligger.
- Tjek dine adgangslogge: Bed din webhost om at udlevere serverlogge og søg efter usædvanlige forespørgsler til index.php?option=com_extrasearch.
- Skift adgangskoder: Skift adgangskoden til din Joomla-administrator og til din database som en sikkerhedsforanstaltning.
- Overvej en WAF: En Web Application Firewall (et digitalt skjold foran din hjemmeside) kan blokere SQL-injektionsforsøg automatisk, mens du afventer en permanent løsning.
- Orientér din databehandler eller DPO: Har du mistanke om, at data allerede er blevet stjålet, skal du vurdere om det udløser en GDPR-anmeldelsespligt til Datatilsynet inden for 72 timer.
Handl inden for 24-48 timer
Vi anbefaler, at du straks deaktiverer Extra Search-tilføjelsen, hvis du ikke kan opdatere den til en sikker version. En upatched SQL-injektionssårbarhed af denne karakter bør aldrig forblive aktiv på en offentlig hjemmeside. Kontakt din webansvarlige i dag, og overvej at få en professionel til at gennemse dine adgangslogge for tegn på tidligere udnyttelse — især hvis du opbevarer personoplysninger på sitet.
Tidslinje
Konkrete eksempler
Angriberen trækker kundelisten ud
En angriber opdager via automatiseret scanning, at din Joomla-side bruger Extra Search 2.2.8. Han sender en enkel webadresse til din side med ondsindet SQL-kode i establename-feltet. Inden for sekunder returnerer din hjemmeside navne, e-mailadresser og telefonnumre på alle dine kunder — uden at han nogensinde har haft et brugernavn eller en adgangskode.
Administrator-login kompromitteres
Via SQL-injektionen henter angriberen den krypterede adgangskode til din Joomla-administrator. Han bruger derefter et almindeligt tilgængeligt program til at knække krypteringen. Med administrator-adgang kan han nu ændre indhold på din hjemmeside, installere skadelig software eller videresælge adgangen til andre kriminelle.
Stille dataindsamling over tid
En angriber udnytter ikke sårbarheden til én stor datatyveri, men forespørger i stedet lidt ad gangen over flere uger for at undgå alarmer. Resultat: din komplette kundedatabase er kopieret uden at du har opdaget det. Først måneder senere, når data dukker op til salg på et mørkt hjørne af internettet, opdager du, at du har haft et brud.
Ofte stillede spørgsmål
Hvordan ved jeg, om min hjemmeside bruger Joomla og Extra Search?
Log ind på din hjemmesides administratorpanel — det finder du typisk på dinside.dk/administrator. Gå til menuen ‘Udvidelser’ og derefter ‘Administrer’. Her kan du søge efter ‘Extra Search’. Ser du version 2.2.8, er du berørt. Er du usikker, kan du kontakte din webleverandør og bede dem tjekke det for dig.
Kan jeg se, om nogen allerede har udnyttet fejlen?
Det kræver adgang til din servers adgangslogge (access logs). Bed din webhost om disse filer og søg efter forespørgsler der indeholder com_extrasearch kombineret med SQL-tegn som enkeltcitationstegn (‘) eller ord som SELECT og UNION. Et sikkerhedsfirma kan hjælpe dig med at analysere loggene, hvis du er i tvivl.
Skal jeg anmelde det til Datatilsynet?
Kun hvis du har begrundet mistanke om, at personoplysninger faktisk er blevet stjålet eller eksponeret. I så fald har du som udgangspunkt 72 timer til at anmelde bruddet til Datatilsynet under GDPR. Hvis du er usikker, bør du kontakte en jurist eller din DPO (databeskyttelsesrådgiver) hurtigst muligt.
Er det nok at deaktivere tilføjelsen, eller skal jeg opdatere hele Joomla?
Deaktivering af Extra Search løser denne specifikke sårbarhed. Du behøver ikke nødvendigvis opdatere hele Joomla for at lukke netop dette hul — men det er generelt god praksis at holde hele din Joomla-installation og alle tilføjelser opdaterede. Forældede versioner af Joomla kan indeholde andre kendte sårbarheder.
Hvad er en SQL-injektion, og hvorfor er det farligt?
SQL er det programmeringssprog, din hjemmeside bruger til at hente og gemme data i en database. Ved en SQL-injektion narrer angriberen hjemmesiden til at udføre kommandoer, som den ikke burde tillade. Det er som om en kunde i en butik snyder kassesystemet til at udlevere hele lagerregnskabet bare ved at skrive noget i søgefeltet. Det er farligt, fordi hele din database potentielt kan læses uden nogen form for adgangskontrol.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Joomla! Component Extra Search 2.2.8 contains an SQL injection vulnerability that allows unauthenticated attackers to manipulate database queries by injecting SQL code through the establename parameter. Attackers can send GET requests to index.php with the option=com_extrasearch parameter and malicious SQL in the establename field to extract sensitive database information.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
