CVE-2017-20253: SQL-injektion i Joomla My Projects 2.0
Kritisk SQL-injektionsfejl i Joomla-komponent My Projects 2.0 giver angribere adgang til din database uden login.
Hvad er det?
CVE-2017-20253 er en SQL-injektionssårbarhed (en type angreb hvor ondsindet kode smugles ind i databaseforespørgsler) i Joomla-komponenten My Projects 2.0. Fejlen findes i parameteren VerAyari, og en angriber kan sende særligt udformede forespørgsler direkte til komponenten uden at være logget ind. Resultatet er, at angriberen kan læse, udtrække og potentielt manipulere data i din database — herunder brugernavne, adgangskoder og andre følsomme oplysninger.
Hvem rammer det?
Sårbarheden rammer alle, der driver et Joomla-website med komponenten My Projects 2.0 installeret. Det kan være:
- Virksomheder med Joomla-baserede hjemmesider eller webshops
- Foreninger og organisationer med Joomla-portaler
- Webhoteller og bureauer der hoster Joomla-løsninger for kunder
Har du ikke My Projects 2.0 installeret på dit Joomla-site, er du ikke direkte berørt af denne specifikke sårbarhed.
Hvad kan ske?
Hvis en angriber udnytter sårbarheden, kan følgende ske:
- Datalæk: Angriberen kan trække alle data ud af din database — herunder kundeoplysninger, login-data og interne dokumenter.
- Kompromitterede adgangskoder: Gemte brugernavne og hashede (krypterede) adgangskoder kan stjæles og forsøges knækket.
- Overtagelse af hjemmeside: Med adgang til administratoroplysninger kan angriberen overtage dit site og indsætte skadeligt indhold.
- GDPR-brud: Hvis persondata lækkes, kan det udløse en indberetningspligt til Datatilsynet inden 72 timer.
Hvor alvorligt er det?
Sårbarheden er vurderet til CVSS 8.2 ud af 10 — Alvorlig. Det er særligt bekymrende af disse grunde:
- Ingen login krævet: Angriberen behøver ikke en brugerkonto på dit site.
- Lav kompleksitet: Angrebet er teknisk simpelt at udføre og kan automatiseres.
- Netværksbaseret: Angrebet kan udføres fra hele internettet — angriberen behøver ikke fysisk adgang.
- Høj fortrolighedsrisiko: Dine data kan læses fuldt ud af en uvedkommende.
Hvad gør jeg nu?
Følg disse trin hurtigst muligt for at beskytte dit Joomla-site:
- Tjek om du er berørt: Log ind på dit Joomla-backend og gå til Udvidelser → Administrer. Søg efter ‘My Projects’ — er version 2.0 installeret, er du berørt.
- Deaktivér komponenten straks: Hvis du ikke aktivt bruger My Projects 2.0, deaktivér eller afinstallér komponenten med det samme under Udvidelser → Administrer.
- Søg efter opdatering: Undersøg om komponentens udviklere har udgivet en opdateret version og opdatér i givet fald.
- Skift adgangskoder: Ændr adgangskoder for alle Joomla-administratorer og databasebrugere som en sikkerhedsforanstaltning.
- Gennemgå logs: Bed din hostingudbyder eller IT-ansvarlige om at tjekke serverloggene for usædvanlig aktivitet mod din Joomla-installation.
- Overvej en WAF: En Web Application Firewall (et sikkerhedslag foran dit website) kan blokere SQL-injektionsforsøg automatisk.
Handl inden for 24-48 timer
Vi anbefaler, at du straks deaktiverer eller fjerner Joomla-komponenten My Projects 2.0, hvis den er installeret på dit site. Da der på nuværende tidspunkt ikke kendes en officiel patch, er fjernelse den sikreste løsning. Kontakt din webbureau eller IT-leverandør i dag, og bed dem gennemgå, om angrebet allerede har fundet sted — det er bedre at finde ud af det nu end efter et databrud.
Tidslinje
Konkrete eksempler
Udtræk af alle brugernavne og adgangskoder
En angriber finder et Joomla-site med My Projects 2.0 via en søgemaskine som Google eller Shodan. De sender en automatiseret forespørgsel til komponentens URL med en SQL-injektionskode i parameteren VerAyari, der beder databasen om at returnere alle brugere og deres hashede adgangskoder. Disse data kan efterfølgende forsøges knækket med specialværktøjer og bruges til at overtage Joomla-administratorkontoen.
Masseautomatiseret scanning mod Joomla-sites
Cyberkriminelle bruger automatiserede scanningsværktøjer til at søge internettet igennem for Joomla-installationer med My Projects 2.0. Når en sårbar installation identificeres, udføres SQL-injektionsangrebet automatisk og uden menneskelig indgriben. På denne måde kan hundredvis af sites angribes på få timer — også selvom din virksomhed er lille og ‘ikke interessant’.
Kundedata sælges på det mørke net
En angriber udnytter sårbarheden til at trække din kundeliste ud af databasen, herunder navne, e-mailadresser og eventuelle betalingsoplysninger. Disse data sættes til salg på undergrundsmarkeder. Dine kunder kan efterfølgende blive udsat for phishing-angreb (falske e-mails der forsøger at narre dem) — og du som virksomhedsejer har et GDPR-ansvar for bruddet.
Ofte stillede spørgsmål
Hvordan ved jeg, om jeg har My Projects 2.0 installeret?
Log ind på dit Joomla-kontrolpanel (typisk via dit-domæne.dk/administrator). Gå til menuen Udvidelser → Administrer og søg på ‘My Projects’. Hvis du ser version 2.0 på listen, er du berørt. Er du i tvivl, kan din webdesigner eller IT-leverandør hurtigt tjekke det for dig.
Kan angriberen slette eller ændre data på mit site?
Den primære risiko ved denne sårbarhed er læsning og udtræk af data (fortrolighed). CVSS-vurderingen angiver lav påvirkning på integritet, hvilket betyder at direkte ændring af data er mulig i begrænset omfang. Stjålne administratoroplysninger kan dog bruges til efterfølgende at overtage sitet og ændre indhold.
Er jeg i fare for en GDPR-bøde?
Hvis personoplysninger om kunder eller medarbejdere lækkes som følge af dette angreb, har du pligt til at anmelde bruddet til Datatilsynet inden 72 timer. Undlader du det, risikerer du en bøde. Det er derfor vigtigt at handle hurtigt og dokumentere, hvad du har gjort for at afhjælpe problemet.
Hjælper det at have en stærk adgangskode til Joomla?
Desværre ikke i dette tilfælde. Netop det farlige ved denne sårbarhed er, at angriberen ikke behøver at kende din adgangskode — angrebet rammer databasen direkte via en åben komponent. Stærke adgangskoder er generelt en god idé, men her er løsningen at fjerne eller opdatere den sårbare komponent.
Hvad er en SQL-injektion?
En SQL-injektion er et angreb, hvor en kriminel sender ondsindet kode til dit websites database via et inputfelt eller en URL. Tænk på det som at putte en falsk besked ind i et formular, der narrer systemet til at udlevere hemmelige oplysninger. Det er en af de ældste og mest udbredte angrebsmetoder mod websites.
Skal jeg anmelde det til politiet, hvis jeg er blevet angrebet?
Ja, hvis du opdager, at din database er blevet tilgået uden tilladelse, bør du overveje at anmelde forholdet til politiet via deres cybercrime-enhed. Du bør samtidig kontakte Datatilsynet, hvis persondata er kompromitteret. Gem alle relevante logfiler som dokumentation.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Joomla! Component My Projects 2.0 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the VerAyari parameter. Attackers can craft requests to the component endpoint with SQL injection payloads to extract sensitive database information including credentials and system data.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
