CVE-2017-20272: SQL-fejl i Joomla Ultimate Property Listing
Kritisk SQL-fejl i Joomla-plugin giver hackere adgang til din database uden login – opdater straks.
Hvad er det?
CVE-2017-20272 er en SQL-injection-sårbarhed (en fejl hvor angribere kan sende skadelige databasekommandoer) i Joomla-tilføjelsesprogrammet Ultimate Property Listing version 1.0.2. Fejlen sidder i en bestemt parameter kaldet sf_selectuser_id, som ikke tjekker brugerinput ordentligt. Det betyder, at en angriber kan sende en særligt udformet webadresse til din hjemmeside og dermed udtrække oplysninger direkte fra din database – uden at have et brugernavn eller kodeord.
Hvem rammer det?
Sårbarheden rammer alle, der driver en Joomla-hjemmeside med Ultimate Property Listing version 1.0.2 installeret. Det gælder typisk ejendomsmæglere, boligportaler og virksomheder i ejendomsbranchen, der bruger dette plugin til at vise ejendomsoversigter. Hvis dit websted bruger dette plugin og ikke er opdateret, er du potentielt i risikogruppen.
Hvad kan ske?
En angriber kan uden login sende forespørgsler til din hjemmeside og trække følsomme oplysninger ud af din database – herunder tabelnavne, kolonnestrukturer og potentielt personoplysninger, brugerdata eller andre fortrolige oplysninger. Fortroligheden af dine data er i høj risiko (CVSS C=HIGH). Der er også en begrænset risiko for, at data kan manipuleres (CVSS I=LOW). Selve hjemmesidens tilgængelighed påvirkes ikke direkte af dette angreb.
Hvor alvorligt er det?
Sårbarheden er vurderet til 8.2 ud af 10 (Alvorlig) efter CVSS-skalaen. Det er alvorligt, fordi:
- Angrebet kan udføres over internettet uden nogen form for login
- Det kræver ingen særlig teknisk viden at udnytte
- Personoplysninger og forretningsdata kan lækkes
- SQL-injection-angreb er velkendte og der findes offentlige værktøjer til automatisk udnyttelse
Hvad gør jeg nu?
Følg disse trin for at beskytte dig:
- Identificér om du bruger Ultimate Property Listing: Log ind på dit Joomla-administratorpanel og tjek under Extensions → Manage, om du har Ultimate Property Listing version 1.0.2 installeret.
- Opdatér eller afinstallér plugin: Søg efter en opdateret version fra udviklerens officielle kilde. Findes der ingen opdatering, bør du deaktivere og afinstallere pluginet øjeblikkeligt, indtil en sikret version er tilgængelig.
- Tjek dine logfiler: Bed din webhost eller IT-ansvarlige om at gennemse serverlogfiler for usædvanlige forespørgsler til
index.php?option=com_upl&view=propertylisting– det kan afsløre om nogen allerede har forsøgt et angreb. - Skift adgangskoder: Skift kodeord til din Joomla-administrator og din database som en forsigtighedsforanstaltning.
- Overvej en WAF: En Web Application Firewall (et sikkerhedslag der filtrerer skadelig trafik) kan blokere SQL-injection-forsøg, mens du venter på en permanent løsning.
Opdatér inden for 24-48 timer
Auroas anbefaling er klar: Deaktivér Ultimate Property Listing-pluginet øjeblikkeligt, hvis I ikke kan verificere, at en sikret version er tilgængelig. SQL-injection-angreb er nemme at automatisere, og fejl som denne bliver hurtigt udnyttet. Kontakt din webmaster eller Auroa, hvis du har brug for hjælp til at vurdere om du er berørt, eller ønsker en hurtig gennemgang af din Joomla-installation.
Tidslinje
Konkrete eksempler
Automatiseret databaseudtræk med sqlmap
En angriber bruger det gratis og offentligt tilgængelige værktøj sqlmap til automatisk at udnytte sårbarheden. Ved at angive URL’en til din Joomla-side med de rette parametre kan værktøjet på få minutter kortlægge hele din databases struktur og udtrække indhold – herunder brugernavne, e-mailadresser og eventuelle gemte betalingsoplysninger. Angrebet kræver ingen særlig ekspertise og kan køres af hvem som helst med adgang til internettet.
Målrettet udtræk af kundeoplysninger
En angriber opdager via en søgemaskinesøgning (f.eks. Google Dork) at din hjemmeside bruger Joomla med Ultimate Property Listing. Angriberen sender en håndkonstrueret GET-forespørgsel til index.php?option=com_upl&view=propertylisting&sf_selectuser_id=1 UNION SELECT ...' og udtrækker navne, e-mailadresser og telefonnumre på alle ejendomskøbere eller -sælgere registreret i systemet. Disse data kan efterfølgende bruges til phishing eller sælges videre.
Kortlægning som springbræt til videre angreb
En angriber bruger SQL-injection til først at kortlægge databasestrukturen og finde administratorbrugerens krypterede kodeord. Efterfølgende forsøges det at knække kodeordet offline. Lykkes det, kan angriberen logge ind som administrator på din Joomla-side og installere skadelig kode (malware) eller etablere en bagdør til fremtidigt misbrug – f.eks. til at distribuere spam eller ransomware.
Ofte stillede spørgsmål
Kan hackere udnytte dette uden at kende mit kodeord?
Ja, præcis. Det er det, der gør denne sårbarhed særligt alvorlig. En angriber behøver hverken brugernavn eller kodeord – de sender blot en specielt udformet webadresse til din hjemmeside og kan derefter trække oplysninger ud af din database.
Hvordan ved jeg, om jeg bruger det berørte plugin?
Log ind på dit Joomla-administratorpanel (typisk via
dinhjemmeside.dk/administrator). Gå til Extensions → Manage og søg efter ‘Ultimate Property Listing’. Ser du version 1.0.2, er du i risikogruppen og bør handle straks.Er der allerede kommet en rettelse fra udvikleren?
På tidspunktet for denne vejledning er der ikke registreret en officiel patch fra udvikleren. Hold øje med pluginets officielle side, og overvej at deaktivere det, indtil en opdatering foreligger. Din webmaster kan hjælpe dig med at finde et alternativt plugin i mellemtiden.
Hvad er SQL-injection, og hvorfor er det farligt?
SQL-injection er en angrebsmetode, hvor en hacker indsætter skadelige databasekommandoer i et felt, som din hjemmeside bruger til at hente data. Forestil dig det som at råbe en falsk ordre ind i et lager – lagersystemet adlyder, fordi det ikke tjekker, om ordren er legitim. Resultatet kan være, at angriberen kan læse, ændre eller i værste fald slette data i din database.
Kan jeg se, om nogen allerede har forsøgt at angribe min hjemmeside?
Ja, delvist. Bed din webhost om adgang til serverlogfiler og søg efter forespørgsler der indeholder
option=com_uplogview=propertylistingkombineret med usædvanlige tegn som enkelte anførselstegn eller SQL-nøgleord. Ser du mistænkelig aktivitet, bør du kontakte en cybersikkerhedsekspert.Hvad sker der med min GDPR-efterlevelse, hvis data er lækket?
Hvis personoplysninger er blevet tilgået uden tilladelse, har du som dataansvarlig pligt til at anmelde det til Datatilsynet inden for 72 timer efter, du bliver opmærksom på bruddet. En cybersikkerhedskonsulent kan hjælpe dig med at vurdere omfanget og udforme anmeldelsen korrekt.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Joomla Ultimate Property Listing 1.0.2 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the sf_selectuser_id parameter. Attackers can send GET requests to index.php with the option=com_upl and view=propertylisting parameters to extract sensitive database information including table names and column structures.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.