CVE-2017-20275: SQL-injektion i Joomla PHP-Bridge
Kritisk SQL-injektionsfejl i Joomla-komponenten PHP-Bridge 1.2.3 giver hackere adgang til din database uden login.
Hvad er det?
CVE-2017-20275 er en SQL-injektionssårbarhed (en fejl hvor angribere kan sende skadelige databasekommandoer) i PHP-Bridge version 1.2.3, som er en tilføjelseskomponent til Joomla! (et populært gratis hjemmeside-system). Fejlen sidder i måden komponenten håndterer et felt kaldet id i webadresser. En angriber kan sende en særligt udformet webadresse til din hjemmeside og dermed tvinge databasen bag hjemmesiden til at udlevere oplysninger — uden at have brugernavn eller adgangskode. Det kræver ingen særlige rettigheder og kan udføres af hvem som helst på internettet.
Hvem rammer det?
Sårbarheden rammer dig, hvis din virksomhed har en Joomla!-baseret hjemmeside med PHP-Bridge-komponenten installeret i version 1.2.3. Det gælder typisk:
- Virksomheder der bruger Joomla! som CMS (hjemmeside-system) til at administrere indhold
- Organisationer der har fået bygget deres hjemmeside af en ekstern webudvikler, og som måske ikke er opmærksomme på hvilke komponenter der er installeret
- Alle der kører PHP-Bridge 1.2.3 — uanset branche eller størrelse
Hvis du er i tvivl om din hjemmeside bruger denne komponent, bør du kontakte din webansvarlige eller it-leverandør.
Hvad kan ske?
En angriber der udnytter denne sårbarhed kan uden at logge ind:
- Læse hele din database — herunder kundeoplysninger, e-mailadresser, ordrehistorik og andre fortrolige data
- Kortlægge databasens opbygning — tabeller og kolonner — som forberedelse til et større angreb
- Finde brugernavne og krypterede adgangskoder fra Joomla!-administratorer, som efterfølgende kan forsøges knækket
- Eksponere persondata hvilket kan udløse GDPR-brud og tilhørende bøder og krav om underretning til Datatilsynet
Selve tilgængeligheden af hjemmesiden (A=NONE) påvirkes ikke direkte, og angriberen kan ikke uden videre ændre data — men informationstabet alene kan have alvorlige konsekvenser.
Hvor alvorligt er det?
Sårbarheden er vurderet til 8.2 ud af 10 (Alvorlig) af det internationale CVSS-scoringssystem. Det er høj alvorlighed, og det skyldes primært:
- Ingen login krævet — alle på internettet kan forsøge angrebet
- Lav kompleksitet — angrebet er teknisk enkelt at udføre
- Høj fortrolighedsrisiko — hele databaseindholdet kan potentielt læses
SQL-injektion (CWE-89) er en af de mest velkendte og hyppigt udnyttede sårbarhedstyper globalt, og der findes offentligt tilgængelige værktøjer der automatisk scanner for netop denne type fejl.
Hvad gør jeg nu?
Du bør handle hurtigt. Her er hvad du konkret gør:
- Find ud af om du er ramt: Kontakt din webansvarlige eller it-leverandør og bed dem tjekke om PHP-Bridge-komponenten er installeret på jeres Joomla!-hjemmeside, og i så fald hvilken version.
- Deaktiver eller fjern komponenten midlertidigt: Hvis I bruger PHP-Bridge 1.2.3, bør komponenten deaktiveres i Joomla!-administrationen, indtil en opdatering eller et alternativ er på plads.
- Undersøg logfiler: Bed din webhost eller it-ansvarlige om at gennemgå serverlogfiler for mistænkelig aktivitet med parametre som option=com_phpbridge i webadresser — det kan afsløre om nogen allerede har forsøgt et angreb.
- Vurder databrud: Hvis der er tegn på at data er blevet tilgået uretmæssigt, har du som dataansvarlig pligt til at vurdere om Datatilsynet skal underrettes inden for 72 timer (GDPR artikel 33).
- Hold øje med opdateringer: Følg med hos komponentens udgiver om en opdateret version frigives, og installér den straks.
Handl inden for 24-48 timer
Vi anbefaler at du straks kontakter din webansvarlige og beder om en afklaring af om PHP-Bridge er i brug på jeres hjemmeside. Hvis det er tilfældet, bør komponenten deaktiveres med det samme — det tager typisk få minutter og løser den akutte risiko. Herefter bør I få foretaget en bredere gennemgang af alle installerede Joomla!-komponenter, da forældede eller ukendte tilføjelsesprogrammer er en hyppig angrebsvej mod SMV-hjemmesider. Auroa hjælper gerne med at kortlægge jeres eksponering.
Tidslinje
Konkrete eksempler
Automatiseret databaseudtræk via webadresse
En angriber bruger et automatiseret scanningsværktøj som sqlmap til at sende tusindvis af varianter af en URL som index.php?option=com_phpbridge&view=phpview&id=1′ OR ‘1’=’1 mod din hjemmeside. Inden for få minutter har værktøjet kortlagt hele din databases struktur og begynder at udtrække tabeller med brugeroplysninger, ordredata og administratorkontakter — alt sammen uden at angriberen nogensinde har logget ind.
Tyveri af administratoradgangskoder
Via SQL-injektionen finder angriberen Joomla!-administratortabellen og udtrækker krypterede adgangskoder. Disse sendes derefter igennem et såkaldt ‘password cracking’-program. Hvis adgangskoderne er svage eller genbrugte fra andre tjenester, kan angriberen inden for kort tid logge ind som administrator på hjemmesiden og få fuld kontrol — herunder mulighed for at uploade skadelig kode.
GDPR-brud via kundedata-eksponering
En webshop bygget på Joomla! med PHP-Bridge installeret har i sin database navne, adresser og e-mailadresser på 3.000 kunder. En angriber udtrækker disse oplysninger via SQL-injektionen og sætter dem til salg på et lukket forum. Virksomheden opdager det først uger senere, langt efter GDPR’s 72-timers anmeldelsesfristen er udløbet, og risikerer nu bøde og omdømmeskade.
Ofte stillede spørgsmål
Hvad er SQL-injektion, og hvorfor er det farligt?
SQL-injektion betyder at en angriber sender skadelige kommandoer ind i et felt på din hjemmeside — i dette tilfælde en webadresse — som din database fejlagtigt opfatter som lovlige instruktioner. Det er farligt fordi det kan give adgang til alle data i databasen uden nogen form for login. Det er en af de ældste og mest udbredte angrebstyper på nettet.
Bruger min hjemmeside PHP-Bridge, og hvordan finder jeg ud af det?
Log ind på din Joomla!-administration (typisk via dinhjemmeside.dk/administrator) og gå til menuen Udvidelser → Administrer. Søg efter ‘PHP-Bridge’. Alternativt kan du bede din webudvikler eller hosting-udbyder om at tjekke det for dig. Hvis du ikke selv har adgang, er det en god anledning til at få overblik over hvad der er installeret.
Kan min hjemmeside allerede være blevet angrebet?
Det er muligt, særligt hvis komponenten har været tilgængelig på internettet i en periode. Automatiserede scannere leder konstant efter kendte sårbarheder. Bed din webhost om at udtrække logfiler og søg efter forespørgsler der indeholder com_phpbridge. Mistænkelige eller gentagne forespørgsler fra samme IP-adresse kan være et tegn på forsøg på udnyttelse.
Er jeg forpligtet til at anmelde et eventuelt databrud til Datatilsynet?
Ja, hvis du har grund til at tro at personoplysninger (f.eks. kundedata, e-mailadresser, ordrehistorik) er blevet tilgået uretmæssigt, er du som udgangspunkt forpligtet til at anmelde det til Datatilsynet inden for 72 timer efter at bruddet opdages — dette følger af GDPR artikel 33. Du bør også overveje om de berørte personer skal underrettes direkte.
Hvad gør jeg hvis vi ikke kan undvære PHP-Bridge-funktionaliteten?
Tal med din webudvikler om at implementere et alternativ eller en midlertidig løsning der ikke er sårbar. Mens I afventer en permanent løsning, kan I overveje at begrænse adgangen til den berørte URL via en web-applikationsfirewall (WAF) eller serverregler, der blokerer forespørgsler med com_phpbridge-parameteret. Det er dog en midlertidig foranstaltning — ikke en permanent fix.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Joomla! Component PHP-Bridge 1.2.3 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the id parameter. Attackers can send GET requests to index.php with option=com_phpbridge&view=phpview parameters and inject SQL code in the id parameter to extract database information including table and column names.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.