CVE-2019-25751: SQL-fejl i Joomla J-ClassifiedsManager
Kritisk SQL-fejl i Joomla-tilføjelsen J-ClassifiedsManager giver hackere adgang til hele din database uden login.
Hvad er det?
J-ClassifiedsManager er et tilføjelsesprogram (også kaldet en komponent) til hjemmesideplatformen Joomla, som bruges til at lave annoncemarkeder og klassificerede annoncer. Version 3.0.5 af dette program indeholder en alvorlig fejl kaldet SQL-injektion. SQL er det sprog, hjemmesider bruger til at tale med deres database. Fejlen betyder, at en angriber kan sende særligt udformede kommandoer til din hjemmeside og narre den til at udlevere indholdet af din database — herunder brugernavne, adgangskoder og andre følsomme oplysninger. Det kræver hverken et brugernavn eller en adgangskode at udnytte fejlen.
Hvem rammer det?
Fejlen rammer alle virksomheder og foreninger, der driver en Joomla-hjemmeside med komponenten J-ClassifiedsManager i version 3.0.5 installeret og aktiv. Det kan fx være virksomheder, der har en jobportal, en brugtbørs eller en annoncesektion på deres hjemmeside bygget med dette plugin. Hvis du er usikker på, om din hjemmeside bruger dette program, bør du spørge din webudvikler eller hostingudbyder.
Hvad kan ske?
En angriber, der udnytter denne sårbarhed, kan:
- Trække hele din databases indhold ud — herunder kundeoplysninger, brugernavne og krypterede adgangskoder
- Få kendskab til din hjemmesides tekniske opbygning, som kan bruges til yderligere angreb
- I visse tilfælde forsøge at gætte eller knække adgangskoder og dermed få administratoradgang til din hjemmeside
- Eksponere persondata om dine kunder eller medlemmer, hvilket kan udløse en GDPR-brud-situation med meldepligt til Datatilsynet
Selve tilgængeligheden af hjemmesiden påvirkes ikke direkte, men fortrolighed og integritet af dine data er i fare.
Hvor alvorligt er det?
Sårbarheden har fået en CVSS-score på 8,2 ud af 10, hvilket klassificeres som alvorlig (high). Det er særligt bekymrende, fordi:
- Angrebet kan udføres over internettet fra hele verden
- Det kræver ingen teknisk forberedelse eller særlige rettigheder
- Angriberen behøver ikke være logget ind på din hjemmeside
- Der kræves ingen interaktion fra din side eller dine brugeres side
Kombinationen af lav angrebskompleksitet og høj datapåvirkning gør dette til en fejl, der bør håndteres hurtigt.
Hvad gør jeg nu?
Følg disse trin for at beskytte din hjemmeside:
- Identificér om du er ramt: Log ind på din Joomla-administrator og tjek under Udvidelser, om J-ClassifiedsManager version 3.0.5 er installeret og aktiv.
- Opdatér eller afinstallér komponenten: Undersøg om udvikleren bag J-ClassifiedsManager har udgivet en opdateret version. Hvis der ikke findes en opdatering, bør du deaktivere og afinstallere komponenten midlertidigt.
- Tjek dine logfiler: Bed din webudvikler eller hostingudbyder om at gennemgå hjemmesidens adgangslogfiler for mistænkelig aktivitet i parametrene categorySearch, adType og citySearch.
- Skift adgangskoder: Skift adgangskoder til Joomla-administrator og den database, hjemmesiden anvender — særligt hvis du mistænker, at data kan være kompromitteret.
- Vurdér GDPR-forpligtelser: Hvis persondata om kunder eller brugere kan være tilgået, har du pligt til at vurdere, om du skal anmelde bruddet til Datatilsynet inden for 72 timer.
- Overvej en Web Application Firewall (WAF): En WAF kan som midlertidig løsning blokere SQL-injektionsforsøg, mens du venter på en permanent rettelse.
Handl inden for 24-48 timer
Denne sårbarhed bør behandles som en akut sag, fordi den er nem at udnytte og ikke kræver nogen form for adgang til din hjemmeside i forvejen. Vi anbefaler, at du øjeblikkeligt deaktiverer J-ClassifiedsManager-komponenten, indtil en opdateret og sikker version er tilgængelig. Kontakt din webudvikler eller Auroa for hjælp til at vurdere, om din hjemmeside allerede har været udsat for forsøg på udnyttelse, og om du har GDPR-forpligtelser som følge heraf.
Tidslinje
Konkrete eksempler
Udtræk af alle brugernavne og adgangskoder
En angriber sender en automatiseret forespørgsel til din Joomla-hjemmesides søgefunktion med en skjult SQL-kommando i søgefeltet for bykategorier (citySearch). Hjemmesiden videresender kommandoen til databasen, som svarer med en komplet liste over alle registrerede brugere — herunder e-mailadresser og krypterede adgangskoder. Angriberen kan derefter forsøge at knække adgangskoderne offline og logge ind som administrator.
Kortlægning af databasestruktur til videre angreb
Via parametret adType injicerer en angriber en SQL-kommando, der beder databasen om at udlevere en liste over alle tabeller og kolonner. Med denne viden kan angriberen målrette yderligere angreb mod specifikke tabeller, fx en tabel med betalingsoplysninger eller persondata om kunder, og trække præcis de data ud, der er mest værdifulde.
Automatiseret masseangreb via scanner
Cyberkriminelle bruger automatiserede scanningsværktøjer, der kontinuerligt gennemsøger internettet for Joomla-hjemmesider med kendte sårbare komponenter. Når din hjemmeside identificeres som kørende J-ClassifiedsManager 3.0.5, afsendes udnyttelseskoden automatisk. Hele processen kan ske på få sekunder uden menneskelig indgriben fra angriberens side, og din hjemmeside opdager det ikke nødvendigvis med det samme.
Ofte stillede spørgsmål
Hvad er SQL-injektion, og hvorfor er det farligt?
SQL-injektion er en teknik, hvor en angriber sniger skjulte databasekommandoer ind i felter på din hjemmeside — fx et søgefelt. Hvis hjemmesiden ikke tjekker input korrekt, sender den angribernes kommandoer direkte videre til databasen. Det svarer til, at en fremmed kan stille spørgsmål direkte til dit kartoteksskab og få alt udleveret uden at vise legitimation. Det er en af de ældste og mest udbredte angrebstyper på hjemmesider.
Kan jeg se, om nogen allerede har udnyttet sårbarheden på min hjemmeside?
Ja, i mange tilfælde. Din webudvikler eller hostingudbyder kan undersøge hjemmesidens adgangslogfiler (access logs) for usædvanlige forespørgsler til componentet displayads med lange eller mærkelige tegn i søgeparametrene. Det er dog ikke altid muligt at opdage alle angreb efterfølgende, så det er vigtigt at handle hurtigt fremadrettet.
Bliver min hjemmeside nede, hvis jeg deaktiverer J-ClassifiedsManager?
Selve hjemmesiden fortsætter med at fungere, men den del af siden, der viser annoncer eller klassificerede opslag via denne komponent, vil ikke være tilgængelig. Det er en midlertidig ulempe, men klart at foretrække frem for at lade en åben dør stå på klem for angribere.
Skal jeg melde det til Datatilsynet?
Du skal vurdere, om der er sket et databrud. Hvis du har mistanke om, at personoplysninger om kunder, brugere eller ansatte kan være tilgået af uvedkommende, har du som udgangspunkt 72 timers meldepligt til Datatilsynet. Har du en databehandleraftale med din hostingudbyder, skal du også orientere dem. Vær i tvivl? Kontakt en juridisk rådgiver eller Auroa for vejledning.
Gælder fejlen kun version 3.0.5, eller er ældre versioner også ramt?
Den officielle CVE-rapport omhandler specifikt version 3.0.5. Det er ikke dokumenteret, om tidligere versioner er ramt af præcis samme fejl. Generelt anbefales det dog altid at holde alle Joomla-komponenter opdaterede til nyeste version for at minimere risikoen for kendte sårbarheder.
Hvad er en Web Application Firewall, og hjælper det her?
En Web Application Firewall (WAF) er et sikkerhedslag foran din hjemmeside, der kan genkende og blokere kendte angrebsmønstre — herunder SQL-injektionsforsøg — inden de når din database. Det er en god midlertidig beskyttelse, men erstatter ikke en egentlig opdatering eller fjernelse af den sårbare komponent. Mange hostingudbydere tilbyder WAF som tilvalg.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Joomla Component J-ClassifiedsManager 3.0.5 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through POST parameters. Attackers can submit crafted SQL payloads in the categorySearch, adType, and citySearch parameters to the displayads component to extract sensitive database information including usernames, databases, and version details.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
