CVE-2019-25755: SQL-fejl i Joomla vReview 1.9.11
Kritisk SQL-fejl i Joomla-tilføjelsen vReview giver angribere adgang til din database uden login.
Hvad er det?
CVE-2019-25755 er en SQL-injektionssårbarhed (en fejl hvor ondsindet kode kan smugles ind i databaseforespørgsler) i Joomla-komponenten vReview version 1.9.11. Fejlen sidder i et parameter kaldet cmId, som håndterer anmeldelser på dit website. En angriber kan sende en særligt udformet forespørgsel til dit website og derigennem trække oplysninger ud af din database – uden at have et brugernavn eller adgangskode. Det kræver ingen teknisk adgang i forvejen og kan udføres af hvem som helst på internettet.
Hvem rammer det?
Sårbarheden rammer alle, der driver et Joomla-baseret website med komponenten vReview installeret i version 1.9.11 eller tidligere. Det er typisk virksomheder, foreninger og organisationer, der bruger Joomla som indholdsstyringssystem (CMS) og har tilføjet vReview for at vise kundeanmeldelser. Har du ikke Joomla eller ikke vReview installeret, er du ikke berørt.
Hvad kan ske?
En angriber kan udnytte fejlen til at læse indholdet af din database. Det betyder i praksis:
- Brugernavne og adgangskoder (typisk krypterede, men kan knækkes) til dit website kan blive stjålet.
- Kundedata, e-mailadresser og andre personoplysninger kan blive eksponeret – med potentielle GDPR-konsekvenser.
- Angriberen kan kortlægge din databases struktur og bruge den viden til yderligere angreb.
- Dataene kan sælges videre eller bruges til phishing (falske e-mails der udgiver sig for at komme fra dig) mod dine kunder.
Hvor alvorligt er det?
Sårbarheden er vurderet til 8.2 ud af 10 (Alvorlig) af det internationale NVD-system. Den scorer højt, fordi den kan udnyttes over internettet uden forudgående login og uden handling fra din side. Fortroligheden af dine data er i høj risiko. Det er ikke nødvendigt for angriberen at være teknisk ekspert – kendte værktøjer kan automatisere angrebet.
Hvad gør jeg nu?
Følg disse trin hurtigst muligt for at beskytte dit website:
- Find ud af om du bruger vReview: Log ind på dit Joomla-adminpanel og gå til Udvidelser → Administrer. Søg efter vReview og notér versionsnummeret.
- Opdatér eller afinstallér komponenten: Undersøg om der er en opdateret version af vReview tilgængelig hos udvikleren. Hvis ikke, bør du deaktivere og afinstallere komponenten med det samme.
- Skift adgangskoder: Skift adgangskoden til din Joomla-adminbruger og alle andre brugere på sitet. Gør det samme for din databasebruger via dit hostingkontrolpanel.
- Tjek dine logs: Bed din webhost eller en it-partner om at gennemgå serverlogfiler for usædvanlige POST-forespørgsler til editReview-endpointet, som kan afsløre om nogen allerede har forsøgt et angreb.
- Overvej en Web Application Firewall (WAF): En WAF kan blokere SQL-injektionsforsøg automatisk og giver et ekstra beskyttelseslag foran dit website.
- Vurder GDPR-pligten: Hvis du har grund til at tro, at personoplysninger er blevet kompromitteret, skal du vurdere, om du har pligt til at anmelde bruddet til Datatilsynet inden for 72 timer.
Handl inden for 24-48 timer
Vi anbefaler, at du øjeblikkeligt deaktiverer vReview-komponenten på dit Joomla-site, hvis du ikke kan verificere, at en sikker opdatering er tilgængelig. Fejlen er nem at udnytte og kræver ingen forudgående adgang, hvilket gør den til et oplagt mål for automatiserede angrebsværktøjer. Kontakt os gerne, hvis du er usikker på om dit site er berørt, eller hvis du har brug for hjælp til at undersøge om et angreb allerede har fundet sted.
Tidslinje
Konkrete eksempler
Automatiseret scanning stjæler adminlogin
Et automatiseret værktøj scanner internettet for Joomla-sites med vReview installeret. Når det finder dit site, sender det en særligt udformet POST-forespørgsel til din server med ondsindet SQL-kode i cmId-parameteret. Inden for sekunder modtager angriberen en liste med brugernavne og krypterede adgangskoder fra din database – herunder din Joomla-adminbruger. Adgangskoderne forsøges derefter knækket offline.
Kundedata eksponeres og sælges
En angriber udnytter SQL-injektionen til at trække alle e-mailadresser og eventuelle personoplysninger ud af din database. Disse data pakkes og sættes til salg på et mørkt forum på internettet. Dine kunder modtager efterfølgende phishing-e-mails, der udgiver sig for at komme fra din virksomhed, og du opdager bruddet først, når kunderne henvender sig.
Konkurrent eller aktivist kortlægger din database
En målrettet angriber bruger UNION-baseret SQL-injektion til systematisk at kortlægge strukturen i din database: hvilke tabeller der findes, hvilke data de indeholder, og hvilken version af databasesoftwaren du kører. Disse oplysninger bruges til at planlægge et mere avanceret efterfølgende angreb eller til at finde yderligere sårbarheder i dit system.
Ofte stillede spørgsmål
Hvordan ved jeg, om jeg bruger vReview på mit Joomla-site?
Log ind på dit Joomla-adminpanel og gå til Udvidelser → Administrer → Installerede. Søg på ‘vReview’ i listen. Hvis komponenten dukker op og viser version 1.9.11 eller lavere, er du berørt. Er du i tvivl, kan din webmaster eller hostingudbyder hjælpe dig med at tjekke det.
Kan angriberen overtage hele mit website?
Denne konkrete sårbarhed giver primært adgang til at læse data fra din database, ikke til at skrive eller slette. Det er dog alvorligt nok, da adgangskoder og persondata kan stjæles. Kombineret med andre teknikker kan en angriber potentielt eskalere angrebet, så du bør handle hurtigt.
Hvad er SQL-injektion, og hvorfor er det farligt?
SQL-injektion er en teknik, hvor en angriber smugler ondsindet kode ind i de forespørgsler, dit website sender til sin database. Det er lidt som at skrive en falsk besked ind i en formular, der snyder systemet til at udlevere fortrolige oplysninger. Det er en af de mest udbredte og kendte angrebsmetoder på internettet.
Er jeg forpligtet til at anmelde et databrud til Datatilsynet?
Under GDPR skal du anmelde et sikkerhedsbrud til Datatilsynet inden for 72 timer, hvis bruddet udgør en risiko for de registrerede personers rettigheder og frihedsrettigheder. Hvis du har mistanke om, at personoplysninger – f.eks. e-mailadresser eller passwords – er blevet eksponeret, bør du straks kontakte en juridisk rådgiver eller Datatilsynet for vejledning.
Hjælper det at have et stærkt adminadgangskode?
Et stærkt adgangskode hjælper generelt, men beskytter dig desværre ikke mod denne sårbarhed. Angrebet omgår login fuldstændigt og kommunikerer direkte med databasen via en fejl i koden. Du skal derfor handle på selve komponenten og ikke blot ændre adgangskoder – selvom det stadig er anbefalelsesværdigt som en del af oprydningen.
Hvad er en Web Application Firewall (WAF), og har jeg brug for én?
En WAF er et sikkerhedslag foran dit website, der analyserer og filtrerer indkommende trafik. Den kan automatisk blokere kendte angrebsmønstre som SQL-injektion, inden de når frem til din applikation. Mange hostingudbydere tilbyder WAF som tilkøb, og tjenester som Cloudflare tilbyder det ligeledes. For SMV’er med en offentlig hjemmeside er det en fornuftig investering.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Joomla Component vReview 1.9.11 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the cmId parameter. Attackers can send POST requests to the editReview task endpoint with URL-encoded SQL UNION statements in the cmId parameter to extract database information including usernames, passwords, and database versions.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
