CVE-2019-25761: SQL-injektion i JoomCRM 1.1.1
Kritisk sikkerhedshul i JoomCRM 1.1.1 til Joomla! giver indloggede brugere adgang til at stjæle hele din database.
Hvad er det?
CVE-2019-25761 er en SQL-injektionssårbarhed (en angrebsmetode hvor ondsindet kode smugles ind i databaseforespørgsler) i JoomCRM version 1.1.1 – et CRM-tilføjelsesprogram til Joomla!. Fejlen sidder i et parameter kaldet deal_id, som programmet ikke tjekker ordentligt, inden det sender data videre til databasen. Det betyder, at en angriber kan sende særligt udformede forespørgsler til dit website og tvinge databasen til at udlevere oplysninger, den ikke burde dele – herunder navne på tabeller, skemaer og potentielt persondata og adgangskoder.
Hvem rammer det?
Sårbarheden rammer dig, hvis du driver en hjemmeside bygget på Joomla! med JoomCRM-komponenten i version 1.1.1 installeret. Det er typisk virksomheder, der bruger Joomla! som CMS (indholdsstyringssystem) og har valgt JoomCRM til at håndtere kunderelationer direkte på hjemmesiden. Angriberen behøver kun en almindelig brugerkonto på dit site – det behøver ikke være en administrator. Har du aktiveret brugerregistrering, er tærsklen for angreb meget lav.
Hvad kan ske?
En angriber med adgang til en brugerkonto på dit Joomla!-site kan udtrække indholdet af din database – herunder kundeoplysninger, e-mailadresser, krypterede adgangskoder og interne forretningsdata. Derudover kan angriberen kortlægge din databases struktur, hvilket gør det lettere at planlægge yderligere angreb. Fortroligheden af dine data er den primære risiko (CVSS C=HIGH), men der er også en mindre risiko for, at data kan ændres (CVSS I=LOW). Et vellykket angreb kan udløse brud på GDPR-forpligtelser og kræve anmeldelse til Datatilsynet inden 72 timer.
Hvor alvorligt er det?
Sårbarheden er vurderet til 7,1 ud af 10 (Alvorlig) efter CVSS-skalaen. Den kræver kun en lav adgangsniveau (en normal brugerkonto), intet samarbejde fra offeret og udnyttes over nettet – det gør den nem at misbruge. Konsekvensen for fortrolighed er høj, hvilket betyder, at hele din database potentielt kan eksponeres. Det er ikke en fejl, du kan tillade dig at ignorere eller udsætte i lang tid.
Hvad gør jeg nu?
Følg disse trin så hurtigt som muligt for at beskytte dit Joomla!-site:
- Tjek din Joomla!-installation: Log ind på dit Joomla! backend og gå til Udvidelser → Administrer. Find JoomCRM og notér versionsnummeret.
- Deaktivér JoomCRM midlertidigt: Hvis du kører version 1.1.1, deaktivér komponenten med det samme, indtil en opdatering er tilgængelig. Det stopper den umiddelbare risiko.
- Begræns brugerregistrering: Gå til Konfiguration → Brugere og deaktivér offentlig tilmelding, hvis det ikke er forretningskritisk. Det hæver tærsklen for et angreb markant.
- Gennemgå dine logfiler: Kig i serverlogfilerne (access.log) efter mistænkelige forespørgsler til
index.php?option=com_joomcrm&view=contactsmed usædvanligedeal_id-værdier. - Kontakt din webudvikler eller hostingudbyder: Bed dem vurdere om en Web Application Firewall (WAF) kan blokere SQL-injektionsforsøg som et midlertidigt lag.
- Hold øje med opdatering fra JoomCRM: Følg udviklernes officielle kanal og installér en eventuel sikkerhedsopdatering så snart den udgives.
Handl inden for 48 timer
Vores klare anbefaling er at deaktivere JoomCRM-komponenten øjeblikkeligt, hvis du kører version 1.1.1, og holde den deaktiveret, indtil en officiel sikkerhedsopdatering foreligger. Begræns samtidig adgangen til brugerregistrering på dit site for at reducere angrebsfladen. Overvej at få en sikkerhedsgennemgang af dine logfiler for at afgøre, om der allerede har været uautoriserede forespørgsler mod din database – tidlig opdagelse er afgørende for din GDPR-overholdelse.
Tidslinje
Konkrete eksempler
Angriber opretter konto og udtrækker kundeliste
En angriber besøger dit Joomla!-site, opretter en gratis brugerkonto via din tilmeldingsformular og logger ind. Derefter sender vedkommende en særligt udformet URL til index.php?option=com_joomcrm&view=contacts&deal_id=1 UNION SELECT table_name,2 FROM information_schema.tables--. JoomCRM sender forespørgslen videre til databasen uden at tjekke den, og svaret afslører navnene på alle tabeller i din database – herunder tabeller med kundedata og adgangskoder.
Konkurrent anskaffer sig din kundeliste
En konkurrent eller industrispion opdager, at dit site bruger JoomCRM 1.1.1. Via SQL-injektionen henter vedkommende indholdet af din CRM-database, herunder kontaktoplysninger, aftalehistorik og måske endda priser fra dine kundeaftaler. Oplysningerne kan bruges til målrettet kontakt til dine kunder eller sælges videre.
Automatiseret scanner finder og udnytter fejlen
Automatiserede angrebsværktøjer som sqlmap scanner kontinuerligt internettet for kendte sårbarheder. Når CVE-detaljer er offentlige, tilføjes de hurtigt til sådanne værktøjer. Et script kan inden for minutter finde dit site, registrere en konto og systematisk udtrække din databases indhold – alt sammen uden menneskelig indblanding og uden at du opdager det med det samme.
Ofte stillede spørgsmål
Skal man være administrator for at udnytte denne sårbarhed?
Nej – det er netop det, der gør denne sårbarhed særlig bekymrende. En angriber behøver kun en almindelig brugerkonto på dit Joomla!-site. Hvis du tillader offentlig brugerregistrering, kan stort set hvem som helst oprette en konto og forsøge angrebet.
Hvad er SQL-injektion, og hvorfor er det farligt?
SQL-injektion er en teknik, hvor en angriber indsætter ondsindet kode i et felt, som normalt bruges til at søge eller filtrere data. Hvis programmet ikke tjekker inputtet ordentligt, sender det den ondsindede kode videre til databasen, som så udfører den. Resultatet kan være, at angriberen kan læse, ændre eller i værste fald slette data i din database.
Er mit site blevet angrebet allerede?
Det er muligt at undersøge. Bed din hosting-udbyder eller IT-ansvarlige om at gennemgå dine server-adgangslogfiler og søge efter forespørgsler til
index.phpmed parametreneoption=com_joomcrm&view=contacts. Usædvanlige eller gentagne forespørgsler med mærkelige tegn ideal_id-feltet kan indikere et angrebsforsøg.Hvornår kommer der en opdatering til JoomCRM?
På nuværende tidspunkt er der ikke offentliggjort en officiel sikkerhedsopdatering fra JoomCRM-udviklerne. Vi anbefaler, at du holder øje med den officielle Joomla! Extensions Directory og JoomCRM’s egen hjemmeside. Tilmeld dig gerne Auroas nyhedsbrev, så holder vi dig opdateret, når en løsning foreligger.
Har jeg pligt til at anmelde det til Datatilsynet, hvis jeg er blevet ramt?
Ja, hvis der er sket et databrud – altså at personoplysninger er blevet tilgået eller stjålet uden tilladelse – har du som udgangspunkt pligt til at anmelde det til Datatilsynet inden 72 timer efter, du opdager bruddet. Det følger af GDPR artikel 33. Kontakt evt. en juridisk rådgiver for at vurdere din konkrete situation.
Kan en firewall beskytte mig, mens jeg venter på en opdatering?
En Web Application Firewall (WAF) kan i mange tilfælde blokere SQL-injektionsforsøg, inden de når frem til dit site. Det er dog ikke en fuldstændig løsning – det er et ekstra lag beskyttelse. Deaktivering af den sårbare komponent er stadig det mest effektive skridt, du kan tage nu.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Joomla! Component JoomCRM 1.1.1 contains an SQL injection vulnerability that allows authenticated attackers to execute arbitrary SQL queries by injecting malicious code through the deal_id parameter. Attackers can send GET requests to index.php with option=com_joomcrm&view=contacts and inject SQL code in the deal_id parameter to extract sensitive database information including table names and schemas.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
