CVE-2017-20270: SQL-injektion i Joomla Twitch TV
Kritisk SQL-fejl i Joomla-komponent lader hackere stjæle alle brugerdata uden login – opdater straks.
Hvad er det?
CVE-2017-20270 er en SQL-injektionssårbarhed (en fejl hvor en angriber kan sende skadelige kommandoer direkte ind i din database) i Joomla-komponenten Twitch TV 1.1. Fejlen findes i den måde, komponenten håndterer URL-parametre på – specifikt felterne username og id. En angriber behøver ingen brugernavn eller adgangskode for at udnytte fejlen. Det er nok at sende en særligt udformet webadresse til dit websted, hvorefter angriberen kan læse og trække data ud af din database – herunder brugernavne, adgangskoder og konfigurationsoplysninger.
Hvem rammer det?
Sårbarheden rammer alle virksomheder og organisationer, der driver et Joomla-baseret websted med komponenten Twitch TV version 1.1 installeret og aktiveret. Det kan dreje sig om webshops, foreninger, kommunikationsplatforme eller virksomhedshjemmesider. Hvis du ikke ved, om du har denne komponent installeret, bør du tjekke det med det samme – se vejledningen nedenfor.
Hvad kan ske?
Hvis en angriber udnytter denne sårbarhed, kan vedkommende:
- Læse hele din database – inklusive brugernavne, krypterede adgangskoder og e-mailadresser på alle registrerede brugere.
- Stjæle konfigurationsdata – f.eks. databaseadgangskoder, der kan give adgang til andre systemer.
- Forberede yderligere angreb – ved at bruge de stjålne oplysninger til at tage fuld kontrol over webstedet eller tilknyttede systemer.
- Overtræde GDPR – et databrud med personoplysninger udløser underretningspligt til Datatilsynet inden for 72 timer.
Hvor alvorligt er det?
Sårbarheden er vurderet til 8,2 ud af 10 (Alvorlig) ifølge den internationale CVSS-skala. Det skyldes primært, at:
- Angrebet kan udføres over internettet uden forudgående login.
- Det kræver ingen særlig teknisk ekspertise – enkle værktøjer og vejledninger er offentligt tilgængelige.
- Konsekvensen er høj fortrolighed: alle data i databasen kan potentielt afsløres.
Kombinationen af lav angrebskompleksitet og høj skade gør dette til en sårbarhed, du bør forholde dig til med det samme.
Hvad gør jeg nu?
Følg disse trin for at beskytte dit Joomla-websted hurtigst muligt:
- Tjek om du er ramt: Log ind i din Joomla-backend og gå til Udvidelser → Administrer. Søg efter “Twitch TV” – er den installeret, er du potentielt sårbar.
- Deaktiver eller afinstaller komponenten straks: Hvis du ikke aktivt bruger Twitch TV-komponenten, fjern den helt. Det er den hurtigste og sikreste løsning.
- Kontakt din webmaster eller hostingudbyder: Bed dem bekræfte, at komponenten er fjernet, og at der ikke er tegn på tidligere angreb i logfilerne.
- Skift adgangskoder: Skift adgangskoder for alle Joomla-administratorer og databasebrugere som en sikkerhedsforanstaltning.
- Gennemgå andre udvidelser: Benyt lejligheden til at fjerne alle Joomla-udvidelser, du ikke aktivt bruger – de er en unødvendig risiko.
- Overvej en Web Application Firewall (WAF): En WAF kan blokere SQL-injektionsforsøg automatisk og give et ekstra beskyttelseslag.
Handl inden for 24–48 timer
Vores klare anbefaling er at afinstallere Twitch TV-komponenten øjeblikkeligt, da der ikke findes en officiel sikkerhedsopdatering. Komponenten er gammel og ser ikke ud til at blive vedligeholdt aktivt. Kontakt din webmaster i dag, og bed dem gennemgå Joomla-installationens logfiler for tegn på, at nogen allerede har forsøgt at udnytte fejlen. Benyt desuden lejligheden til at få en samlet gennemgang af alle installerede Joomla-udvidelser – det er god praksis at fjerne alt, du ikke bruger.
Tidslinje
Konkrete eksempler
Automatiseret databrud via offentlig scanner
En angriber bruger et automatiseret scanningsværktøj til at finde alle offentligt tilgængelige Joomla-websteder med Twitch TV-komponenten. Uden at logge ind sender værktøjet en særligt udformet URL til dit websted, der trækker alle brugernavne og krypterede adgangskoder ud af databasen på få sekunder. Oplysningerne kan efterfølgende sælges eller bruges til at overtage brugerkonti på andre tjenester.
Udtræk af administratoroplysninger
En angriber sender en GET-forespørgsel til index.php?option=com_twitchtv&view=… med en SQL-injektionspayload i id-parameteret. Forespørgslen returnerer Joomla-administratorens brugernavn og adgangskode-hash (en krypteret version af adgangskoden). Med adgang til hashed-adgangskoden kan angriberen bruge et adgangskode-knækningsværktøj og efterfølgende logge ind som administrator og overtage hele webstedet.
Datalæk med GDPR-konsekvenser
En webshop kører Joomla med Twitch TV-komponenten installeret fra en gammel integration. En angriber udtrækker via SQL-injektion en komplet liste over kunderegistreringer, inkl. navne og e-mailadresser. Virksomheden opdager bruddet først uger senere ved en tilfældighed – langt efter GDPR-fristen på 72 timer for anmeldelse til Datatilsynet er overskredet, hvilket kan medføre bøde og omdømmeskade.
Ofte stillede spørgsmål
Hvordan ved jeg, om Twitch TV-komponenten er installeret på mit websted?
Log ind i dit Joomla-kontrolpanel og gå til Udvidelser → Administrer. Søg efter “Twitch” i søgefeltet. Hvis komponenten dukker op på listen, har du den installeret. Du kan også bede din webmaster eller hostingudbyder om at tjekke det for dig.
Er der en opdatering, der fikser fejlen?
Pr. offentliggørelsesdatoen er der ikke udgivet en officiel patch (rettelse) til Twitch TV-komponenten. Den bedste løsning er at afinstallere komponenten helt, indtil udvikleren udgiver en opdateret og sikker version – hvis det overhovedet sker.
Kan nogen allerede have udnyttet denne fejl mod mit websted?
Det er muligt. Gennemgå dine serverlogfiler for mistænkelige forespørgsler til index.php med parametrene option=com_twitchtv og usædvanlige tegn som enkelt-anførselstegn (‘), bindestreger eller SQL-nøgleord som SELECT og UNION. Din hostingudbyder kan hjælpe med denne gennemgang, hvis det virker uoverskueligt.
Hvad er SQL-injektion, og hvorfor er det farligt?
SQL-injektion er en angrebsmetode, hvor en angriber sniger skadelige databasekommandoer ind i et webstedsforespørgsel. Det er som at udfylde en formular med et hemmeligt kodestykke, der får systemet til at udlevere data, det ikke burde. Det er farligt, fordi det kan ske helt automatisk og uden at du opdager det, og fordi det kan afsløre alle oplysninger gemt i din database.
Har vi pligt til at anmelde et eventuelt databrud?
Ja. Hvis personoplysninger (f.eks. navne, e-mailadresser eller adgangskoder) er blevet kompromitteret, har du efter GDPR pligt til at anmelde bruddet til Datatilsynet inden for 72 timer efter du er blevet opmærksom på det. Du skal muligvis også informere de berørte personer. Tag kontakt til din databeskyttelsesrådgiver eller juridiske rådgiver, hvis du er i tvivl.
Er alle Joomla-websteder sårbare?
Nej – kun Joomla-websteder med den specifikke komponent Twitch TV version 1.1 installeret og aktiveret er sårbare. Selve Joomla-platformen er ikke fejlen. Har du ikke denne komponent, er du ikke ramt af denne specifikke sårbarhed.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Joomla! Component Twitch Tv 1.1 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the username and id parameters. Attackers can send GET requests to index.php with option=com_twitchtv and view parameters containing SQL injection payloads to extract sensitive database information including credentials and configuration data.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.