CVE-2017-20257: SQL-fejl i Joomla Quiz Deluxe 3.7.4
SQL-fejl i Joomla-tilføjelse Quiz Deluxe 3.7.4 giver hackere adgang til din database uden login.
Hvad er det?
CVE-2017-20257 er en SQL-injektionssårbarhed (en fejl hvor angribere kan snyde et programs databaseforespørgsler) i Joomla-tilføjelsen Quiz Deluxe version 3.7.4. Fejlen sidder i en bestemt funktion kaldet ajaxaction.flag_question, og den kan udnyttes via to parametre: stu_quiz_id og flag_quest. En angriber behøver hverken brugernavn eller adgangskode for at udnytte den. Ved at sende særligt udformede forespørgsler til dit website kan angriberen manipulere de databasekommandoer, som tilføjelsen kører, og dermed læse eller ændre data i din database.
Hvem rammer det?
Sårbarheden rammer alle virksomheder og organisationer, der driver et Joomla-baseret website med tilføjelsen Quiz Deluxe version 3.7.4 installeret og aktiveret. Det kan for eksempel være foreninger, uddannelsesinstitutioner, detailvirksomheder eller andre SMV’er, der bruger quiz-funktionalitet på deres hjemmeside. Hvis du er usikker på, om du bruger denne tilføjelse, kan din webmaster eller IT-leverandør tjekke det for dig.
Hvad kan ske?
En angriber, der udnytter denne sårbarhed, kan:
- Læse fortrolige data fra din database — herunder kundeoplysninger, e-mailadresser, brugernavne og krypterede adgangskoder.
- Ændre indhold i databasen, for eksempel manipulere quiz-resultater eller andre registreringer.
- Bruge de stjålne oplysninger som afsæt for yderligere angreb, f.eks. phishing (falske e-mails) mod dine kunder eller medarbejdere.
Angrebet efterlader ikke nødvendigvis synlige spor på dit website, og du kan derfor have svært ved at opdage, at noget er galt.
Hvor alvorligt er det?
Sårbarheden er vurderet til CVSS 8.2 ud af 10, hvilket klassificeres som alvorlig. Tre faktorer gør den særligt bekymrende:
- Ingen login kræves — enhver på internettet kan forsøge angrebet.
- Lav teknisk kompleksitet — angrebet er ikke svært at udføre for en erfaren angriber.
- Høj fortrolighedsrisiko — der er stor risiko for, at følsomme data kan læses.
Påvirkning på tilgængelighed (nedetid) er derimod ikke en direkte konsekvens af denne sårbarhed.
Hvad gør jeg nu?
Tag følgende skridt hurtigst muligt, helst inden for de næste 48 timer:
- Kontakt din webmaster eller IT-leverandør og informér dem om denne sårbarhed. Del CVE-nummeret (CVE-2017-20257) med dem.
- Tjek om Quiz Deluxe 3.7.4 er installeret på dit Joomla-website. Log ind i Joomla-administrationen og se under Udvidelser → Administrer udvidelser.
- Opdatér tilføjelsen til en nyere, sikker version, hvis en sådan er tilgængelig fra udvikleren af Quiz Deluxe.
- Deaktivér eller afinstallér tilføjelsen midlertidigt, hvis der ikke er en opdatering tilgængelig, indtil problemet er løst.
- Gennemgå dine adgangslogfiler (med hjælp fra IT) for at se, om der allerede har været mistænkelig aktivitet mod dit website.
- Overvej at orientere berørte brugere, hvis du har grund til at tro, at personoplysninger kan være tilgået — dette kan være krævet under GDPR.
Handl inden for 48 timer
Auroa anbefaler, at du omgående beder din webmaster deaktivere Quiz Deluxe-tilføjelsen, indtil en sikkerhedsopdatering fra leverandøren er bekræftet og installeret. Da angrebet kan udføres af alle på internettet uden login, er risikoen for udnyttelse høj, og du bør ikke afvente en planlagt vedligeholdelsesrunde. Kontakt os gerne, hvis du har brug for hjælp til at vurdere omfanget eller til at sikre dit Joomla-website fremadrettet.
Tidslinje
Konkrete eksempler
Datatyveri via quiz-side
En angriber finder dit Joomla-website og opdager, at du bruger Quiz Deluxe 3.7.4. Angriberen sender en automatisk udformet URL til din quiz-sides bagvedliggende funktion med ondsindet SQL-kode gemt i parameteren stu_quiz_id. Databasen svarer med en liste over dine registrerede brugeres e-mailadresser og krypterede adgangskoder, som angriberen eksporterer og sælger eller bruger til videre angreb.
Manipulation af quiz-resultater
En konkurrent eller en utilfreds person udnytter sårbarheden til at ændre scores og resultater i din database via parameteren flag_quest. Hvis din virksomhed bruger quiz-resultater til f.eks. kursusbeviser eller konkurrencer, kan dette undergrave tilliden til dine data og skabe juridiske og omdømmemæssige problemer.
Springbræt til yderligere angreb
Via SQL-injektionen tilgår en angriber databasen og finder administrator-loginoplysninger gemt i Joomla-systemet. Med disse oplysninger logger angriberen ind som administrator og installerer skadeligt indhold på dit website, som inficerer dine besøgendes computere — uden at du opdager det med det samme.
Ofte stillede spørgsmål
Hvad er SQL-injektion, og hvorfor er det farligt?
SQL-injektion er en teknik, hvor en angriber sender særlige kommandoer til et website, som programmet fejlagtigt videresender til sin database. Det svarer lidt til, at en kunde i en butik narrer kasseapparatet til at åbne pengeskabet. Det er farligt, fordi angriberen derved kan læse, ændre eller slette data i din database — uden at have adgang til din administrator-side.
Skal jeg bekymre mig, selvom mit website ikke samler mange personoplysninger?
Ja. Selv hvis du opbevarer relativt få personoplysninger, kan angribere bruge adgangen til at plante skadeligt indhold på dit website, som så rammer dine besøgende. Derudover kan din database indeholde adgangskoder eller andre data, som kan bruges til at angribe dig på andre platforme.
Kan jeg se, om nogen allerede har udnyttet sårbarheden?
Det kan være svært at opdage selv. Du bør bede din webmaster eller IT-leverandør om at gennemgå serverloggene for usædvanlige forespørgsler mod Joomla-tilføjelsen. Auroa kan også hjælpe med en teknisk gennemgang, hvis du er i tvivl.
Er det et krav under GDPR, at jeg informerer mine kunder?
Hvis der er begrundet mistanke om, at personoplysninger er tilgået af uvedkommende, har du som udgangspunkt 72 timer til at anmelde bruddet til Datatilsynet. Du skal desuden underrette de berørte personer, hvis bruddet sandsynligvis medfører en høj risiko for dem. Kontakt din juridiske rådgiver eller Datatilsynet for konkret vejledning i din situation.
Hvad gør jeg, hvis der ikke findes en opdatering til Quiz Deluxe?
Deaktivér tilføjelsen straks via Joomla-administrationen. Overvej at skifte til en anden, aktivt vedligeholdt quiz-løsning. En tilføjelse, der ikke modtager sikkerhedsopdateringer, udgør en løbende risiko for dit website.
Rammer det også andre versioner af Quiz Deluxe end 3.7.4?
Den officielle sårbarhedsbeskrivelse nævner udelukkende version 3.7.4. Det er dog god praksis at opdatere til den seneste version uanset, da ældre versioner generelt kan have andre kendte eller ukendte sikkerhedsproblemer.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Joomla! Component Quiz Deluxe 3.7.4 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL commands through the ajaxaction.flag_question task. Attackers can inject malicious SQL code via the stu_quiz_id or flag_quest parameters to manipulate database queries and extract sensitive information.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
