CVE-2017-20267: SQL-fejl i Joomla Calendar Planner
Kritisk SQL-fejl i Joomla-kalender giver hackere adgang til din database uden login – opdater straks.
Hvad er det?
CVE-2017-20267 er en sikkerhedsfejl i Joomla-tilføjelsen Calendar Planner version 1.0.1. Fejlen kaldes SQL-injektion (en teknik hvor en angriber sniger ondsindet kode ind i databaseforespørgsler) og befinder sig i en parameter ved navn category_id. Når en bruger f.eks. viser begivenheder på dit website, sender browseren denne parameter til serveren. En angriber kan udnytte det til at sende manipulerede forespørgsler direkte til din database og hente følsomme oplysninger ud – helt uden at være logget ind og uden særlige tekniske ressourcer.
Hvem rammer det?
Sårbarheden rammer enhver virksomhed eller organisation, der driver et Joomla-baseret website med Calendar Planner 1.0.1 installeret. Det gælder typisk:
- SMV’er og foreninger med Joomla-hjemmesider der bruger denne kalender-komponent til arrangementer, kurser eller bookinger
- Webshops og serviceudbydere der gemmer kundedata, brugeroplysninger eller ordrehistorik i Joomla-databasen
- Offentlige sider med login-systemer, hvor brugernes e-mailadresser og adgangskoder (selv krypterede) ligger i databasen
Du er ikke berørt, hvis du ikke bruger Joomla, eller hvis du ikke har Calendar Planner installeret og aktiveret.
Hvad kan ske?
En angriber, der udnytter fejlen, kan:
- Trække følsomme data ud af din database – herunder brugernavne, e-mailadresser, hashede adgangskoder og eventuelle kundeoplysninger
- Kortlægge din databasestruktur og forberede yderligere angreb mod dit system
- I visse konfigurationer ændre mindre dataelementer i databasen (CVSS angiver lav integritetsrisiko)
Angrebet kræver ingen forudgående adgang eller login og kan udføres automatisk af scripts, der scanner internettet for sårbare Joomla-sider. Databrud kan føre til bøder efter GDPR, tab af kundernes tillid og driftsforstyrrelse.
Hvor alvorligt er det?
Sårbarheden er vurderet til 8,2 ud af 10 (Alvorlig/High) af den internationale standard CVSS 3.1. Det skyldes:
- Angrebet kan udføres over internettet uden fysisk adgang
- Det kræver ingen login eller særlige rettigheder
- Det kræver ingen handling fra dine brugere
- Konsekvensen for fortrolighed er høj – store mængder data kan eksponeres
Den eneste begrænsende faktor er, at angrebet ikke direkte lukker din hjemmeside ned (ingen tilgængelighedspåvirkning). Alvorligheden er dog reel og bør tages seriøst omgående.
Hvad gør jeg nu?
Følg disse trin så hurtigt som muligt – helst inden for 24-48 timer:
- Tjek om du bruger Calendar Planner: Log ind i dit Joomla-backend (administrator-panel) og gå til Udvidelser → Administrer. Søg efter ‘Calendar Planner’ og notér versionen.
- Deaktiver komponenten midlertidigt: Hvis du finder Calendar Planner 1.0.1, så deaktivér den straks, indtil en patch er tilgængelig. Det fjerner angriberens adgangsvej.
- Tjek dine logs: Bed dit webbureau eller IT-support om at gennemgå serverlogge for mistænkelige GET-forespørgsler med usædvanlige værdier i
category_id-parameteren. - Opdater Joomla og alle udvidelser: Sørg for at Joomla-kernen og alle andre tilføjelser kører i seneste version.
- Skift adgangskoder: Skift adgangskoder for alle Joomla-administratorer og overvej at informere brugere om at skifte deres adgangskoder, hvis du mistænker at data kan være kompromitteret.
- Kontakt leverandøren: Tjek om udvikleren af Calendar Planner har udgivet en opdateret version eller sikkerhedspatch, og installér den så snart den er tilgængelig.
Handl inden for 24-48 timer
Vi anbefaler, at du straks deaktiverer Calendar Planner-komponenten på dit Joomla-site, hvis du kører version 1.0.1. SQL-injektionsfejl af denne type er velkendte og relativt nemme at udnytte automatisk, og din database kan indeholde personoplysninger der er underlagt GDPR. Kontakt din webansvarlige eller et sikkerhedsfirma, hvis du er usikker på om du er berørt, eller hvis du har mistanke om at angrebet allerede har fundet sted.
Tidslinje
Konkrete eksempler
Automatisk database-udtræk via sårbar URL
En angriber sender en simpel, manipuleret URL til dit Joomla-site – f.eks. /index.php?option=com_calendarplanner&view=events&category_id=1 UNION SELECT username,password FROM jos_users--. Hvis Calendar Planner 1.0.1 er installeret, returnerer serveren databasens brugeroplysninger direkte i svaret. Angriberen kan herefter forsøge at knække de hashede adgangskoder og få administratoradgang til dit site.
Masseudtræk af kundedata til videresalg
Et automatiseret script scanner tusindvis af Joomla-sites og identificerer dem der kører den sårbare komponent. For hvert sårbart site trækkes kundeoplysninger, e-mailadresser og eventuelle betalingsoplysninger ud på få sekunder. Dataene sælges efterfølgende på mørke-net-markeder, og din virksomhed opdager det først, når kunder begynder at modtage phishing-mails.
Forberedelse til målrettet ransomware-angreb
En angriber bruger SQL-injektionen til at kortlægge din databases struktur og udtrække administratoroplysninger. Med disse oplysninger forsøger angriberen at logge ind på dit Joomla-backend og eventuelt relaterede systemer. Opnår angriberen adgang, kan det føre til installation af malware eller ransomware (software der krypterer dine filer og kræver løsepenge), som kan lamme hele din virksomheds drift.
Ofte stillede spørgsmål
Hvad er SQL-injektion, og hvorfor er det farligt?
SQL-injektion betyder, at en angriber sniger ondsindet kode ind i de forespørgsler, dit website sender til sin database. Tænk på det som at forfalske en besked til en bankmedarbejder – hvis systemet ikke tjekker om beskeden er ægte, kan angriberen bede databasen om at udlevere alle data, den indeholder. Det er farligt fordi det kan ske helt automatisk og i stor skala.
Kan jeg se om nogen allerede har udnyttet fejlen på min side?
Det kan du delvist. Bed din webhost eller IT-support om at gennemgå dine adgangslogge (access logs) for usædvanlige forespørgsler til komponenten Calendar Planner. Kig særligt efter GET-forespørgsler med tegn som
',UNION,SELECTeller--i URL-parametrene. Har du ikke teknisk hjælp, kan et sikkerhedsfirma udføre denne gennemgang for dig.Skal jeg informere mine kunder eller brugere?
Det afhænger af, om du har grund til at tro at data faktisk er blevet stjålet. Hvis din undersøgelse af logs viser tegn på angreb, er du efter GDPR forpligtet til at anmelde bruddet til Datatilsynet inden for 72 timer og i visse tilfælde også informere de berørte personer. Er du i tvivl, så kontakt en juridisk rådgiver eller et sikkerhedsfirma hurtigst muligt.
Hvad gør jeg, hvis jeg ikke kan finde en patch til Calendar Planner?
Hvis udvikleren ikke har udgivet en opdateret version, er din bedste mulighed at afinstallere komponenten og finde et alternativt kalender-plugin der vedligeholdes aktivt. At lade en sårbar og upatchet komponent ligge deaktiveret er ikke tilstrækkeligt på sigt – den bør fjernes helt for at eliminere risikoen.
Er resten af min Joomla-side sikker, hvis jeg deaktiverer Calendar Planner?
Deaktivering af Calendar Planner fjerner netop denne angrebsvej. Men Joomla-sites kan have andre svagheder, særligt hvis du kører en gammel version af Joomla-kernen eller andre forældede udvidelser. Vi anbefaler at du løbende holder alle komponenter opdaterede og overvejer en generel sikkerhedsgennemgang af dit site.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Joomla! Component Calendar Planner 1.0.1 contains an SQL injection vulnerability that allows unauthenticated attackers to inject SQL commands through the category_id parameter. Attackers can send GET requests to the events view with malicious SQL code in the category_id parameter to extract sensitive database information.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
