CVE-2017-20273: SQL-fejl i Joomla Event Registration Pro
Kritisk SQL-fejl i Joomla-plugin lader hackere stjæle din database uden login – opdater straks.
Hvad er det?
CVE-2017-20273 er en SQL-injektionssårbarhed (en fejl der lader angribere sende skadelige databasekommandoer) i Joomla-tilføjelsen Event Registration Pro Calendar version 4.1.3. Fejlen sidder i måden pluginnet håndterer URL-parameteren id på. En angriber kan sende en særligt udformet webadresse til din hjemmeside og dermed få direkte adgang til at læse indholdet af din database – uden at skulle logge ind eller have nogen form for forudgående adgang. Det kræver ingen teknisk viden ud over at kende URL-mønsteret, og angrebet kan automatiseres fuldstændigt.
Hvem rammer det?
Sårbarheden rammer alle virksomheder og organisationer, der driver en Joomla-hjemmeside med Event Registration Pro Calendar version 4.1.3 installeret. Det er typisk virksomheder, foreninger, kommuner og kulturinstitutioner, der bruger pluginnet til tilmelding til kurser, arrangementer eller begivenheder. Hvis du ikke ved, hvilken version af pluginnet du bruger, bør du undersøge det med det samme.
Hvad kan ske?
En angriber kan udnytte fejlen til at trække hele din database ud – herunder brugernavne, kodeord (også selvom de er krypterede), e-mailadresser, kundeoplysninger og eventuelle betalingsdata. Derudover kan angriberen i begrænset omfang manipulere data i databasen. Praktiske konsekvenser kan være:
- Lækage af personoplysninger (brud på GDPR med potentielle bøder)
- Kompromitterede admin-konti hvis kodeord kan knækkes
- Salg af dine kundedata på det mørke net
- Omdømmeskade overfor kunder og samarbejdspartnere
Hvor alvorligt er det?
Sårbarheden er vurderet til 8,2 ud af 10 (Alvorlig) på den internationale CVSS-skala. Det er højt, og det skyldes primært tre ting:
- Ingen login kræves: Hvem som helst på internettet kan forsøge angrebet.
- Lav kompleksitet: Angrebet er nemt at udføre – der findes offentligt tilgængelige værktøjer til det.
- Høj fortrolighedsrisiko: Hele databasens indhold kan potentielt eksponeres.
Det eneste der trækker ned er, at angriberen ikke umiddelbart kan crashe din hjemmeside (ingen tilgængelighedspåvirkning) og kun har begrænset skriveadgang.
Hvad gør jeg nu?
Du bør handle hurtigt. Følg disse trin i prioriteret rækkefølge:
- Tjek om du er ramt: Log ind på din Joomla-backend og find ud af, om du har Event Registration Pro Calendar installeret – og hvilken version.
- Opdater eller afinstaller pluginnet: Undersøg om der er en opdateret version tilgængelig fra udvikleren. Hvis ikke, bør du midlertidigt deaktivere eller afinstallere pluginnet.
- Skift alle adgangskoder: Skift kodeord til din Joomla-admin, din database og din webhost – også selv om du ikke tror, du er blevet angrebet.
- Gennemgå dine logfiler: Bed din webhost eller IT-partner om at gennemgå serverlogfiler for mistænkelig trafik mod
index.php?option=com_registrationpro. - Vurder om der er sket et databrud: Hvis logfiler viser angrebsforsøg, har du sandsynligvis en anmeldelsespligt til Datatilsynet inden for 72 timer.
- Overvej en Web Application Firewall (WAF): En WAF kan blokere SQL-injektionsforsøg automatisk og reducere risikoen fremover.
Handl inden for 24-48 timer
Vi anbefaler, at du straks deaktiverer Event Registration Pro Calendar, hvis du ikke kan verificere, at du kører en patchet version. Kontakt din webbureau eller IT-leverandør i dag og bed dem gennemgå logfiler for tegn på angreb. Husk, at SQL-injektionsangreb ofte sker automatiseret og i stor skala – din hjemmeside kan allerede have været udsat, selvom alt ser normalt ud. Auroa hjælper gerne med en hurtig gennemgang.
Tidslinje
Konkrete eksempler
Automatiseret databaseudtræk
En angriber bruger et populært og frit tilgængeligt værktøj som sqlmap til automatisk at scanne din Joomla-hjemmeside. Inden for få minutter har værktøjet udnyttet fejlen i id-parameteren og trukket en komplet liste over brugernavne, krypterede kodeord og e-mailadresser ud af databasen. Disse data sættes til salg på et darknet-forum eller bruges til at forsøge login på andre tjenester.
Målrettet angreb mod tilmeldingsdata
En konkurrent eller kriminel aktør opdager, at din virksomhed bruger Event Registration Pro Calendar til kursustilmeldinger. Via SQL-injektion udtrækkes navne, telefonnumre og e-mailadresser på alle tilmeldte deltagere. Disse oplysninger bruges til phishing-angreb (falske e-mails der udgiver sig for at være dig) rettet mod dine kunder.
Kompromittering af admin-konto
En angriber trækker Joomla-adminkontoens krypterede kodeord ud via SQL-injektionen. Kodeordet knækkes med et ordbogs-angreb (en automatiseret metode der prøver millioner af kombinationer). Angriberen logger ind som administrator og installerer bagdøre (skjult adgang) på hjemmesiden, som kan bruges til fremtidige angreb eller til at hoste skadeligt indhold.
Ofte stillede spørgsmål
Hvad er SQL-injektion, og hvorfor er det farligt?
SQL-injektion betyder, at en angriber sniger skadelige databasekommandoer ind i et felt eller en URL på din hjemmeside. Databasen tror, det er lovlige forespørgsler og udfører dem. Det er farligt, fordi angriberen dermed kan læse, ændre eller slette data – herunder alle dine brugeres oplysninger – uden at have loginoplysninger.
Kan jeg se, om nogen har udnyttet sårbarheden mod min hjemmeside?
Ja, delvist. Du kan bede din webhost om adgang til serverlogfiler og søge efter forespørgsler til
index.phpmed parametreneoption=com_registrationproogview=category. Usædvanlige tegn som enkelt-anførselstegn ('),UNION,SELECTeller--i URL’er er klassiske tegn på SQL-injektionsforsøg. En IT-sikkerhedsekspert kan hjælpe dig med at fortolke logfilerne.Har jeg pligt til at anmelde et eventuelt brud til Datatilsynet?
Ja, hvis der er sket et brud på persondatasikkerheden – dvs. at personoplysninger kan være blevet tilgået af uvedkommende – har du som udgangspunkt pligt til at anmelde dette til Datatilsynet inden for 72 timer efter, du bliver bekendt med bruddet. Det gælder uanset virksomhedens størrelse. Kontakt en juridisk rådgiver eller Auroa, hvis du er i tvivl.
Hvad gør jeg, hvis der ikke er nogen opdatering til pluginnet?
Hvis pluginudvikleren ikke har udgivet en patch, bør du deaktivere eller afinstallere pluginnet indtil videre. Du kan også sætte en Web Application Firewall (WAF) op, som kan filtrere skadelige forespørgsler fra. Tal med din webbureau om alternative plugins til arrangementstilmelding, som er aktivt vedligeholdt.
Er det kun Joomla-hjemmesider, der er i risiko?
Ja, denne specifikke sårbarhed vedrører udelukkende hjemmesider, der kører Joomla med Event Registration Pro Calendar version 4.1.3. Bruger du WordPress, Umbraco eller et andet CMS, er du ikke berørt af netop denne fejl. Er du i tvivl om, hvilket system din hjemmeside er bygget på, kan din webbureau hjælpe dig med at afklare det.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Joomla Event Registration Pro Calendar 4.1.3 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the id parameter. Attackers can send GET requests to index.php with option=com_registrationpro&view=category&id parameter containing SQL injection payloads to extract sensitive database information.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.