CVE-2017-20277: SQL-injektion i Joomla JoomRecipe
Kritisk SQL-injektionsfejl i Joomla-komponenten JoomRecipe 1.0.4 giver angribere adgang til din database uden login.
Hvad er det?
JoomRecipe 1.0.4 er en opskriftskomponent til Joomla-hjemmesider. Komponenten indeholder en alvorlig fejl kaldet blind SQL-injektion (en teknik hvor en angriber smugler ondsindet databasekode ind i et søgefelt). Fejlen sidder i søgefeltet search_author på søgeresultatsiden. En angriber kan sende særligt udformede forespørgsler til din hjemmeside og dermed trække oplysninger ud af din database — uden at have et brugernavn eller adgangskode. Fejlen kræver ingen brugerinteraktion og kan udnyttes direkte over internettet.
Hvem rammer det?
Fejlen rammer alle, der driver en Joomla-hjemmeside med JoomRecipe-komponenten i version 1.0.4 installeret. Det kan fx være restauranter, madbloggere, kokkeskoler eller andre virksomheder, der bruger komponenten til at vise opskrifter på deres hjemmeside. Hvis din Joomla-side ikke har komponenten installeret, er du ikke berørt.
Hvad kan ske?
En angriber kan udnytte fejlen til at læse indholdet af din database. Det betyder, at følgende kan kompromitteres:
- Brugernavne og adgangskoder (typisk krypterede, men muligvis knækkelige) for alle hjemmesidens brugere og administratorer
- Personoplysninger om kunder eller brugere, fx navne og e-mailadresser
- Konfigurationsdata og andre fortrolige oplysninger gemt i databasen
Angriberen kan også forsøge at bruge de stjålne oplysninger til at overtage administrator-kontoen og dermed få fuld kontrol over hjemmesiden.
Hvor alvorligt er det?
Sårbarheden er vurderet til 8,2 ud af 10 (Alvorlig) efter den internationale CVSS-skala. Det er alvorligt af flere grunde:
- Angrebet kan udføres direkte over internettet — ingen fysisk adgang nødvendig
- Det kræver ingen login eller særlige rettigheder
- Det kræver ingen handling fra dig eller dine brugere
- Risikoen for datalæk er høj (C=HIGH på fortrolighed)
Eneste dæmpende faktor er, at angriberen ikke kan ændre væsentlige data eller lukke siden ned via denne fejl alene.
Hvad gør jeg nu?
Følg disse trin hurtigst muligt for at beskytte din hjemmeside:
- Tjek om du er berørt: Log ind på din Joomla-adminpanel og se under Udvidelser, om JoomRecipe er installeret og i hvilken version.
- Opdater eller afinstaller komponenten: Undersøg om der er en opdateret version af JoomRecipe tilgængelig fra udgiveren. Hvis ikke, bør du afinstallere komponenten midlertidigt.
- Skift adgangskoder: Skift adgangskoder for alle administratorkonti på din Joomla-side som en forholdsregel.
- Gennemgå dine logfiler: Bed din webhost eller en IT-leverandør om at se efter mistænkelig aktivitet i serverlogfilerne.
- Overvej en WAF: En Web Application Firewall (et digitalt beskyttelseslag foran din hjemmeside) kan blokere SQL-injektionsangreb, mens du finder en permanent løsning.
- Kontakt din databehandler eller DPO: Hvis du mistænker, at data allerede er blevet stjålet, kan du have pligt til at anmelde det til Datatilsynet inden for 72 timer.
Handl inden for 24-48 timer
Vi anbefaler, at du straks afinstallerer eller deaktiverer JoomRecipe 1.0.4, indtil en sikkerhedsopdatering er tilgængelig fra komponentens udgiver. SQL-injektionsfejl af denne type er velkendte og relativt nemme at udnytte for angribere med selv begrænset teknisk viden. Kontakt os gerne, hvis du er usikker på, om din side er berørt, eller hvis du har brug for hjælp til at gennemgå logfiler for tegn på angreb.
Tidslinje
Konkrete eksempler
Udtræk af administratoroplysninger
En angriber besøger søgesiden på din Joomla-hjemmeside og sender en automatiseret forespørgsel med ondsindet kode i søgefeltet for forfatter. Ved at analysere hjemmesidens svar spørgsmål for spørgsmål — fx ‘er første bogstav i adgangskoden et A?’ — kan angriberen systematisk kortlægge hele administratorens adgangskode fra databasen. Processen kan automatiseres med frit tilgængelige værktøjer og kan være overstået på få timer.
Masseudtræk af brugerdata
En angriber bruger et automatiseret SQL-injektionsværktøj (fx sqlmap, som er frit tilgængeligt) til at kortlægge hele din database. Alle registrerede brugere, deres e-mailadresser og krypterede adgangskoder dumpes til angriberens server. Disse data kan efterfølgende sælges på det mørke web eller bruges til at forsøge at logge ind på andre tjenester, som dine brugere benytter (credential stuffing).
Springbræt til fuld overtagelse
Efter at have udtrukket administrator-hash’en (den krypterede adgangskode) fra databasen forsøger angriberen at knække den med et password-cracking-program. Lykkes det, logger angriberen ind som administrator og installerer ondsindet kode (malware) på hjemmesiden — fx for at omdirigere dine besøgende til svindelsider eller inficere dem med virus.
Ofte stillede spørgsmål
Hvordan ved jeg, om min hjemmeside er blevet angrebet?
Du kan bede din webhost om at udlevere serverlogfiler (access logs) og søge efter usædvanlige POST-forespørgsler til søgesiden med mistænkeligt indhold. Der kan også ses tegn som uventede brugere i adminsystemet eller ændringer i indhold. Kontakt en IT-sikkerhedskonsulent, hvis du er usikker.
Kan jeg bare deaktivere søgefunktionen midlertidigt?
Det kan reducere risikoen midlertidigt, men det er ikke en garanti. Den sikreste løsning er at afinstallere hele JoomRecipe-komponenten, indtil en opdatering foreligger. Deaktivering af søgefunktionen i Joomla-grænsefladen fjerner ikke nødvendigvis adgangen til det sårbare endepunkt.
Gælder GDPR her — skal jeg anmelde det til Datatilsynet?
Hvis du har grund til at tro, at personoplysninger er blevet tilgået uden tilladelse, har du som udgangspunkt pligt til at anmelde bruddet til Datatilsynet inden for 72 timer. Du skal også vurdere, om de berørte personer skal underrettes. Kontakt din databeskyttelsesrådgiver (DPO) eller en juridisk rådgiver ved tvivl.
Er andre versioner af JoomRecipe også sårbare?
CVE’en er specifikt rapporteret for version 1.0.4. Det er dog god praksis at antage, at ældre versioner også kan være sårbare. Kontrollér udgiverens officielle kanaler for information om hvilke versioner der er berørt, og om der er udgivet en rettelse.
Hvad er SQL-injektion, og hvorfor er det farligt?
SQL-injektion er en teknik, hvor en angriber skriver databasekommandoer ind i et normalt søge- eller inputfelt på en hjemmeside. Hvis hjemmesiden ikke filtrerer input korrekt, sender den kommandoerne videre til databasen, som udfører dem. Det kan give angriberen adgang til at læse, ændre eller slette data — uden at have et login.
Kan min antivirussoftware beskytte mig mod dette angreb?
Nej, traditionel antivirussoftware på din computer beskytter ikke mod denne type angreb, da angrebet sker direkte mod din hjemmeside på webserveren. Du har brug for server-niveau beskyttelse, fx en Web Application Firewall (WAF), som din webhost muligvis tilbyder som tilkøb.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Joomla JoomRecipe 1.0.4 component contains a blind SQL injection vulnerability in the search_author parameter on the search results page. Attackers can inject SQL code through POST requests to the search endpoint to extract database information using boolean-based blind SQL injection techniques.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.