CVE-2017-20263: SQL-injektion i Joomla FocalPoint
SQL-injektionsfejl i Joomla-komponenten FocalPoint giver hackere adgang til din database uden login.
Hvad er det?
CVE-2017-20263 er en SQL-injektionssårbarhed (en fejl der gør det muligt at sende skadelige databasekommandoer via en webadresse) i Joomla-tilføjelsen FocalPoint Pro/Free version 1.2.3. En angriber kan sende en særligt udformet webforespørgsel til dit Joomla-websted og få direkte adgang til at læse og manipulere data i din database — helt uden at have et brugernavn eller adgangskode. Angrebet kræver ingen teknisk viden hos offeret og kan udføres automatisk af angrebsværktøjer.
Hvem rammer det?
Sårbarheden rammer dig, hvis du:
- Kører et Joomla-baseret websted
- Har installeret tilføjelsen FocalPoint Pro eller FocalPoint Free i version 1.2.3
- Har FocalPoint-komponenten aktiveret og tilgængelig via internettet
Det er typisk SMV’er og organisationer med websteder bygget på Joomla, fx virksomhedshjemmesider, foreningsportaler eller webshops.
Hvad kan ske?
En angriber kan udnytte fejlen til at:
- Stjæle data: Hente kundeoplysninger, e-mailadresser, adgangskoder og andre følsomme oplysninger fra din database
- Omgå login: Udtrække administrator-credentials (brugernavne og krypterede adgangskoder) og forsøge at bryde dem
- Manipulere indhold: I visse tilfælde ændre eller slette data i databasen
- Overholdelsesproblemer: Et datalæk kan udløse pligt til at anmelde bruddet til Datatilsynet inden for 72 timer (GDPR)
Hvor alvorligt er det?
Sårbarheden er vurderet til CVSS-score 8.2 ud af 10 — klassificeret som alvorlig. Det er en høj score, fordi:
- Angrebet kan udføres over internettet uden login (ingen adgangskode kræves)
- Det kræver ingen hjælp fra dig eller dine medarbejdere — ingen klik, ingen åbning af filer
- Angrebet er teknisk enkelt og kan automatiseres
- Fortrolighed af data er kraftigt truet (C=HIGH)
Den eneste begrænsning er, at angriberen ikke kan lukke dit websted ned (A=NONE), men datatyveri er en reel og alvorlig risiko.
Hvad gør jeg nu?
Følg disse trin for at beskytte dit Joomla-websted hurtigst muligt:
- Identificér om du er ramt: Log ind i dit Joomla-backend og kontrollér under “Udvidelser”, om FocalPoint Pro eller Free er installeret og i version 1.2.3.
- Deaktivér komponenten midlertidigt: Hvis du bruger FocalPoint 1.2.3, deaktivér den straks i Joomla-backend, indtil en opdatering er tilgængelig eller alternativ er fundet.
- Tjek for opdatering: Besøg FocalPoints officielle websted eller Joomla Extensions Directory for at se, om der er udgivet en patchet version.
- Gennemgå dine logfiler: Bed din webhost eller IT-ansvarlige om at gennemse serverlogfiler for mistænkelige GET-forespørgsler til index.php?option=com_focalpoint.
- Skift adgangskoder: Skift adgangskoder til Joomla-administratorer og din database som en forsigtighedsforanstaltning.
- Overvej en WAF: En Web Application Firewall (et filter der blokerer skadelig trafik) kan give ekstra beskyttelse mens du afventer en patch.
Handl inden for 24-48 timer
Hvis du bruger FocalPoint-komponenten på dit Joomla-websted, bør du deaktivere den med det samme — også selvom det midlertidigt påvirker funktionalitet på dit websted. Et datalæk kan have langt større konsekvenser, både økonomisk og omdømmemæssigt. Kontakt os i Auroa, hvis du er usikker på om dit websted er berørt, eller hvis du har brug for hjælp til at gennemgå dine logfiler og sikre din Joomla-installation.
Tidslinje
Konkrete eksempler
Automatiseret scanning og datatyveri
En angriber bruger et automatiseret scanningsværktøj (fx sqlmap) til at søge internettet for Joomla-websteder med FocalPoint-komponenten aktiv. Når et sårbart websted identificeres, sendes en skadelig forespørgsel som index.php?option=com_focalpoint&view=location&id=1 UNION SELECT username,password FROM jos_users–, hvorved alle administratorbrugere og deres krypterede adgangskoder udtrækkes fra databasen på sekunder.
Kundedatalæk med GDPR-konsekvenser
En SMV driver en Joomla-baseret medlemsportal med FocalPoint installeret. En angriber udtrækker via SQL-injektion en komplet liste over medlemmers navne, e-mailadresser og telefonnumre. Virksomheden opdager bruddet tre dage senere via en meddelelse fra en kunde og er nu forpligtet til at anmelde hændelsen til Datatilsynet — potentielt med bøde og tab af kundernes tillid til følge.
Kompromittering af administratorkonto
Via SQL-injektion udtrækker en angriber den krypterede adgangskode for Joomla-superadministratoren. Adgangskoden knækkes ved hjælp af et standard “dictionary attack” (angreb der prøver kendte adgangskoder). Angriberen logger nu ind som administrator og installerer skadelig kode på webstedet, som inficerer besøgende brugeres computere.
Ofte stillede spørgsmål
Bruger jeg FocalPoint, hvis jeg ikke ved hvad det er?
Det er muligt, at en webudvikler har installeret det på dine vegne. Log ind på dit Joomla-backend, gå til “Udvidelser” → “Administrér”, og søg efter “FocalPoint”. Hvis den er der og aktiveret, er du potentielt sårbar.
Kan jeg se, om nogen allerede har angrebet mit websted?
Ja, delvist. Bed din webhost om adgang til serverlogfiler og søg efter forespørgsler med teksten option=com_focalpoint og view=location. Mistænkelige tegn i id-parameteren (fx SQL-nøgleord som SELECT, UNION, eller mange specialtegn) kan indikere forsøg på angreb.
Er min webshop eller kundedatabase i fare?
Hvis din Joomla-installation bruger FocalPoint 1.2.3, og du gemmer kundedata i databasen, er svaret ja. En angriber kan potentielt tilgå alle data der er gemt i din Joomla-database — herunder kundeoplysninger, ordrehistorik og brugerdata.
Hvad er SQL-injektion, og hvorfor er det farligt?
SQL-injektion betyder, at en angriber “snyder” dit websted til at sende uønskede kommandoer til din database ved at skjule dem i en normal webforespørgsel. Det er farligt, fordi databasen ikke kan skelne mellem legitime og ondsindede kommandoer, og angriberen dermed kan læse, ændre eller slette data frit.
Skal jeg anmelde det til Datatilsynet, hvis data er stjålet?
Ja. Hvis personoplysninger har været eksponeret, er du som virksomhed forpligtet til at anmelde bruddet til Datatilsynet inden for 72 timer, jf. GDPR artikel 33. Du bør desuden informere de berørte personer, hvis bruddet udgør en høj risiko for dem. Kontakt en juridisk rådgiver hvis du er i tvivl.
Virker min firewall eller antivirus ikke mod dette angreb?
En traditionel antivirus på din computer beskytter ikke mod dette angreb, da det sker direkte mod dit websteds server via internettet. En Web Application Firewall (WAF) kan derimod hjælpe med at blokere mistænkelige forespørgsler. Spørg din webhost om de tilbyder denne tjeneste.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Joomla! Component FocalPoint Pro/Free 1.2.3 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the id parameter. Attackers can send GET requests to index.php with option=com_focalpoint, view=location, and a crafted id parameter containing SQL commands to extract sensitive database information.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
