CVE-2017-20276: SQL-injektion i Joomla! SIMGenealogy
SQL-injektion i Joomla!-komponent SIMGenealogy 2.1.5 giver angribere adgang til din database uden login.
Hvad er det?
CVE-2017-20276 er en SQL-injektionssårbarhed (en teknik hvor angribere sniger skadelig kode ind i databaseforespørgsler) i Joomla!-komponenten SIMGenealogy version 2.1.5. Komponenten bruges til at vise slægtshistorie på Joomla!-baserede hjemmesider. En angriber kan sende en særlig udformet webadresse til dit websted og dermed manipulere den underliggende database til at udlevere fortrolige oplysninger. Angrebet kræver hverken login eller teknisk adgang til din server — det kan udføres af hvem som helst med internetadgang.
Hvem rammer det?
Sårbarheden rammer alle, der driver et Joomla!-websted med SIMGenealogy-komponenten i version 2.1.5 installeret. Det er typisk foreninger, privatpersoner og mindre organisationer der publicerer slægtsforskning online. Hvis du ikke ved om du bruger denne komponent, bør du tjekke din Joomla!-installation med det samme.
Hvad kan ske?
En angriber kan udnytte sårbarheden til at læse indholdet af din database uden at logge ind. Det betyder potentielt adgang til:
- Brugernavne og adgangskoder (eventuelt krypterede) for alle brugere på webstedet
- E-mailadresser og personoplysninger gemt i databasen
- Andre fortrolige data opbevaret i Joomla!-installationen
Angribere kan desuden bruge de stjålne oplysninger til at forsøge at overtage administratorkontoen eller sælge dataene videre. Muligheden for at ændre eller slette data er begrænset, men datatyveri er en reel risiko.
Hvor alvorligt er det?
Sårbarheden er vurderet til CVSS-score 8.2 ud af 10, hvilket klassificeres som alvorlig. Det skyldes at angrebet kan udføres over internettet uden login, uden brugerinteraktion og med lav teknisk kompleksitet. Det eneste der begrænser scoren fra at være kritisk, er at angriberen ikke fuldt ud kan ændre eller slette data — primært kan de læse dem. Alligevel udgør dataudlæsning en betydelig risiko, særligt i lyset af GDPR-forpligtelser (databeskyttelsesreglerne).
Hvad gør jeg nu?
Følg disse trin hurtigst muligt for at beskytte dit websted:
- Tjek om du er berørt: Log ind i dit Joomla! kontrolpanel og gå til Udvidelser → Administrér. Søg efter SIMGenealogy og notér versionsnummeret.
- Deaktivér komponenten midlertidigt: Hvis du kører version 2.1.5, deaktivér komponenten straks under Udvidelser → Administrér, indtil en opdatering foreligger.
- Søg efter opdatering: Tjek den officielle Joomla! Extensions Directory eller komponentens hjemmeside for en opdateret version der løser problemet.
- Gennemgå logfiler: Bed din webhost eller IT-ansvarlige om at gennemgå serverlogfiler for mistænkelig aktivitet mod index.php med parametrene option=com_simgenealogy.
- Skift adgangskoder: Som en sikkerhedsforanstaltning bør administratorer og brugere skifte deres adgangskoder til webstedet.
- Kontakt din IT-leverandør: Hvis du er usikker på ovenstående trin, kontakt din webmaster eller IT-leverandør omgående.
Handl inden for 24-48 timer
Vi anbefaler at du deaktiverer SIMGenealogy-komponenten øjeblikkeligt, hvis du kører version 2.1.5. Da der på nuværende tidspunkt ikke kendes en officiel patch, er deaktivering den mest effektive beskyttelse. Overvej desuden at sætte en Web Application Firewall (WAF) op foran dit websted — det er et filter der kan blokere SQL-injektionsforsøg automatisk. Gennemfør også en vurdering af om personoplysninger kan være blevet kompromitteret, da det kan udløse en GDPR-anmeldelsespligt inden for 72 timer.
Tidslinje
Konkrete eksempler
Datatyveri via manipuleret webadresse
En angriber besøger dit Joomla!-websted og tilføjer ondsindet SQL-kode til webadressen i type-parameteret — for eksempel index.php?option=com_simgenealogy&view=latest&type=1′ UNION SELECT username,password FROM jos_users–. Databasen returnerer nu en liste over alle brugernavne og adgangskoder fra webstedets brugertabel direkte i svaret. Angriberen har nu loginoplysningerne til alle brugere, herunder administratorer, uden at have haft en konto.
Automatiseret scanning og masseudnyttelse
Cyberkriminelle bruger automatiserede scanningsværktøjer der gennemsøger internettet for Joomla!-websteder med den sårbare SIMGenealogy-komponent installeret. Fordi angrebet er enkelt og kræver ingen login, kan et script på få timer scanne tusindvis af websteder og automatisk udtrække databaseindhold fra alle sårbare installationer. Din virksomhed behøver ikke at være et specifikt mål — den kan blive ramt blot fordi den er synlig på nettet.
Overtagelse af administrator-konto
Efter at have udtrukket krypterede adgangskoder fra databasen bruger angriberen et adgangskode-crackingværktøj til at knække en administrators kodeord. Med administratoradgang logger angriberen ind i Joomla! kontrolpanelet, installerer skadelig software på webstedet og bruger det til at angribe de besøgende eller sende spam. Hele forløbet startede med én manipuleret webadresse.
Ofte stillede spørgsmål
Hvad er SQL-injektion, og hvorfor er det farligt?
SQL-injektion er en angrebsmetode, hvor en angriber sniger skadelig kode ind i en forespørgsel til din database via et inputfelt eller en webadresse. Databasen opfatter koden som legitime instruktioner og udfører dem. Det er farligt fordi det kan give adgang til alle oplysninger i databasen — uden at angriberen behøver et kodeord.
Skal jeg anmelde et databrud til Datatilsynet?
Hvis du har grund til at tro at personoplysninger er tilgået af uvedkommende, har du som udgangspunkt pligt til at anmelde det til Datatilsynet inden for 72 timer efter du bliver opmærksom på bruddet. Tag kontakt til din GDPR-ansvarlige eller juridiske rådgiver for at afklare om anmeldelse er nødvendigt i dit tilfælde.
Er mit websted allerede blevet angrebet?
Det er ikke muligt at sige med sikkerhed uden at gennemgå logfiler. Bed din webhost om at tjekke for forespørgsler mod index.php med parametrene option=com_simgenealogy og view=latest i urlen. Usædvanligt mange eller mærkelige forespørgsler kan indikere at nogen har forsøgt — eller lykkedes med — et angreb.
Hvad gør jeg, hvis der ikke findes en opdatering til komponenten?
Hvis komponenten ikke opdateres af udvikleren, bør du overveje at fjerne den permanent og finde et alternativt plugin til slægtshistorie. En uopdateret komponent med en kendt sårbarhed er en vedvarende risiko for dit websted og dine brugeres data. En Web Application Firewall kan fungere som midlertidig beskyttelse, men erstatter ikke en reel rettelse af koden.
Kan andre Joomla!-komponenter have samme problem?
Ja, SQL-injektion er desværre en hyppig sårbarhedstype i tredjeparts Joomla!-komponenter. Det er god praksis at holde alle udvidelser opdaterede, fjerne komponenter du ikke bruger, og jævnligt tjekke Joomla! Security Announcements for nye sikkerhedsadvarsler om de komponenter du anvender.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Joomla! Component SIMGenealogy 2.1.5 contains an SQL injection vulnerability that allows unauthenticated attackers to manipulate database queries by injecting SQL code through the type parameter. Attackers can send GET requests to index.php with the option=com_simgenealogy, view=latest parameters and inject malicious SQL in the type parameter to extract sensitive database information.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.