CVE-2017-20274: SQL-fejl i Joomla LMS King Pro
Kritisk SQL-fejl i Joomla LMS King Professional giver hackere adgang til din database uden login.
Hvad er det?
CVE-2017-20274 er en SQL-injection-sårbarhed (en fejl hvor en angriber kan sende ondsindet kode direkte ind i din databases forespørgsler) i tilføjelsesprogrammet LMS King Professional version 3.2.4.0 til hjemmesidesystemet Joomla. Fejlen sidder i en parameter kaldet cp_id, som bruges på en bestemt underside til læringsforløb. En angriber kan sende en særligt udformet webanmodning til din side og dermed manipulere databasen til at udlevere oplysninger, den ikke burde vise.
Hvem rammer det?
Sårbarheden rammer alle, der driver en Joomla-hjemmeside med tilføjelsesprogrammet LMS King Professional i version 3.2.4.0 installeret og aktivt. Det er typisk virksomheder og organisationer, der bruger Joomla som platform til e-læring, kurser eller kompetenceudvikling. Angriberen behøver hverken brugernavn, adgangskode eller særlige tekniske forudsætninger for at udnytte fejlen — det er nok at kunne nå din hjemmeside via internettet.
Hvad kan ske?
En angriber kan udtrække indholdet af din database, herunder:
- Brugernavne og krypterede adgangskoder for alle registrerede brugere
- E-mailadresser og andre personoplysninger
- Kursusdata, tilmeldinger og eventuelle betalingsoplysninger gemt i databasen
- Konfigurationsdata og hemmelige nøgler til dit Joomla-system
Angriberen kan desuden i begrænset omfang skrive til databasen, hvilket kan åbne for yderligere angreb som oprettelse af falske adminkonti. Der er ingen risiko for, at serveren går ned (tilgængelighed påvirkes ikke), men fortrolighed er alvorligt kompromitteret.
Hvor alvorligt er det?
Sårbarheden er vurderet til 8,2 ud af 10 (Alvorlig) af den internationale CVSS-skala. Det skyldes, at angrebet kan udføres over internettet uden forudgående adgang eller login, og at konsekvensen er høj grad af datalæk. Kombinationen af lav angrebskompleksitet og ingen krav til angriberen gør det til en særligt attraktiv fejl for automatiserede scanningsværktøjer og opportunistiske angribere. GDPR-konsekvenser ved et eventuelt brud på personoplysninger bør også tages i betragtning.
Hvad gør jeg nu?
Du bør handle hurtigt. Tjek om du har LMS King Professional installeret på din Joomla-side, og følg disse trin:
- Identificér versionen: Log ind i dit Joomla-administrationspanel og tjek under Udvidelser → Administrer, om LMS King Professional version 3.2.4.0 er installeret.
- Deaktivér tilføjelsen midlertidigt: Hvis du ikke umiddelbart kan opdatere, så deaktivér komponenten indtil der foreligger en patch. Det fjerner angrebsfladen.
- Søg efter opdatering: Tjek hos softwareleverandøren (LMS King) om der er udgivet en ny version, der retter fejlen, og opdatér straks.
- Gennemgå dine logfiler: Se i din webservers adgangslog efter unormale forespørgsler til
index.phpmed parametreneoption=com_lmskingogtask=learningPath. Det kan afsløre, om nogen allerede har forsøgt et angreb. - Skift adgangskoder: Hvis du ikke kan udelukke, at databasen har været tilgået, bør alle brugere opfordres til at skifte adgangskode, og du bør underrette dem om risikoen i henhold til GDPR.
- Kontakt din IT-leverandør eller Auroa: Har du brug for hjælp til at vurdere omfanget eller gennemføre oprydning, så tag kontakt hurtigst muligt.
Handl inden for 24-48 timer
Vi anbefaler, at du deaktiverer LMS King Professional-komponenten på din Joomla-side med det samme, indtil leverandøren frigiver en sikkerhedsopdatering. SQL-injection-fejl af denne type er nemme at udnytte med frit tilgængelige værktøjer, og risikoen for et automatiseret angreb er reel. Kontakt os i Auroa, hvis du har brug for hjælp til at gennemgå dine logfiler, vurdere om et brud er sket, eller håndtere en eventuel GDPR-indberetning.
Tidslinje
Konkrete eksempler
Automatiseret datalæk via offentlig scanner
En angriber anvender et automatiseret scanningsværktøj som SQLMap til at sende en serie af manipulerede webanmodninger til din Joomla-side. Inden for få minutter har værktøjet udtrukket hele brugerdatabasen — inklusiv e-mailadresser, hashed adgangskoder og personlige oplysninger. Disse data kan efterfølgende sælges på kriminelle forums eller bruges til phishing-angreb mod dine brugere og kunder.
Oprettelse af skjult administratorkonto
En mere målrettet angriber udnytter skrive-adgangen til databasen til at oprette en ny Joomla-administratorkonto med et selvvalgt brugernavn og adgangskode. Efterfølgende logger vedkommende ind som administrator, installerer bagdørs-software (malware) og opretholder vedvarende adgang til din server — selv efter at du har opdateret eller deaktiveret LMS King-komponenten.
Konkurrencespionage via kursusdata
En konkurrent eller ondsindet aktør målretter sig mod din e-læringsplatform og udtrækker detaljerede oplysninger om, hvilke kurser dine ansatte eller kunder er tilmeldt, deres fremskridt og interne kompetenceudviklingsplaner. Disse oplysninger kan udnyttes kommercielt eller til at underminere din virksomheds konkurrenceposition, og et sådant brud vil sandsynligvis udløse GDPR-indberetningspligt.
Ofte stillede spørgsmål
Hvad er SQL-injection, og hvorfor er det farligt?
SQL-injection betyder, at en angriber kan sende ondsindet tekst til din hjemmeside, som sniger sig ind i de kommandoer, din database udfører. I stedet for at behandle teksten som data, opfatter databasen det som instruktioner — og udleverer eller ændrer oplysninger, den normalt ikke ville give adgang til. Det er farligt, fordi det kan ske helt automatisk og uden at nogen opdager det med det samme.
Skal jeg bekymre mig, hvis jeg ikke bruger LMS-funktionen aktivt?
Ja. Det er tilstrækkeligt, at tilføjelsen er installeret og aktiveret i Joomla — selvom ingen brugere aktivt anvender læringsforløb. Angriberen behøver blot at sende en webanmodning til den sårbare URL, og det kan ske uden at nogen på din side er involveret.
Hvordan ved jeg, om nogen allerede har udnyttet fejlen?
Du kan undersøge din webservers adgangslog (typisk kaldet access.log) for forespørgsler, der indeholder
option=com_lmskingkombineret med usædvanlige tegn som',--ellerUNION SELECTi URL’en. Det er en god idé at få en IT-professionel til at gennemgå loggene, da det kræver lidt teknisk kendskab at tolke dem korrekt.Har jeg pligt til at indberette et databrud til Datatilsynet?
Ja, hvis personoplysninger om dine brugere, kunder eller ansatte er blevet kompromitteret, har du som udgangspunkt pligt til at indberette det til Datatilsynet inden for 72 timer efter, du er blevet opmærksom på bruddet — det fremgår af GDPR-forordningen. Du skal også overveje, om de berørte personer skal underrettes direkte. Kontakt os, hvis du er i tvivl om, hvad der gælder i din situation.
Findes der en officiel patch til LMS King Professional?
På tidspunktet for offentliggørelsen af denne sårbarhed er der ikke bekræftet en officiel patch fra leverandøren. Du bør løbende holde øje med leverandørens hjemmeside og opdatere straks, hvis en ny version frigives. I mellemtiden er deaktivering af komponenten den sikreste løsning.
Kan min firewall eller sikkerhedsplugin beskytte mig i mellemtiden?
En Web Application Firewall (WAF) — enten som plugin i Joomla eller som ekstern tjeneste — kan i mange tilfælde blokere SQL-injection-forsøg automatisk og give et ekstra lag beskyttelse, mens du venter på en patch. Det er dog ikke en fuldstændig garanti, og WAF erstatter ikke en reel opdatering af den sårbare komponent.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Joomla LMS King Professional 3.2.4.0 contains an SQL injection vulnerability that allows unauthenticated attackers to manipulate database queries by injecting SQL code through the cp_id parameter. Attackers can send GET requests to index.php with the option=com_lmsking, view=lmsking, layout=learningpath, and task=learningPath parameters to extract sensitive database information.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.