CVE-2017-20269: SQL-injektion i Joomla KissGallery
En gammel Joomla-udvidelse (KissGallery) har en kritisk fejl, der giver hackere adgang til din database uden login.
Hvad er det?
CVE-2017-20269 er en SQL-injektionssårbarhed (en type angreb hvor en hacker sender skadelig kode direkte ind i din database via en webadresse) i Joomla-udvidelsen KissGallery version 1.0.0. Fejlen sidder i den URL, som udvidelsen bruger til at vise billeder. En angriber kan udnytte denne URL til at sende egne databasekommandoer til din hjemmeside — helt uden at være logget ind. Det kræver ingen særlige tekniske forudsætninger og kan udføres fra internettet. Resultatet er, at angriberen kan læse og udtrække data fra din database, f.eks. brugernavne, adgangskoder og kundeoplysninger.
Hvem rammer det?
Sårbarheden rammer alle, der driver en Joomla-hjemmeside med udvidelsen KissGallery version 1.0.0 installeret og aktiv. Det er typisk virksomheder og organisationer, der bruger Joomla som hjemmeside-platform og har tilføjet dette galleri-plugin for at vise billeder. Hvis du ikke bruger Joomla, eller ikke har KissGallery installeret, er du ikke berørt.
Hvad kan ske?
En angriber kan uden login sende skadelige kommandoer til din database og hente følsomme oplysninger ud. Det kan inkludere:
- Brugernavne og krypterede (eller ukrypterede) adgangskoder fra din hjemmeside
- Kundeoplysninger som navne, e-mailadresser og eventuelle betalingsdata
- Interne indstillinger og konfigurationsdata fra din Joomla-installation
Konsekvenserne kan være datalæk, brud på GDPR-reglerne og tab af kundernes tillid. Angriberen kan desuden bruge de stjålne oplysninger som springbræt til yderligere angreb mod din virksomhed.
Hvor alvorligt er det?
Sårbarheden er vurderet til 8.2 ud af 10 (Alvorlig) på den internationale CVSS-skala. Den scorer højt, fordi:
- Angrebet kan udføres over internettet uden login eller særlige rettigheder
- Det kræver ingen interaktion fra dig eller dine medarbejdere
- Angrebet er teknisk enkelt at udføre for en hacker
- Fortroligheden af dine data er i høj risiko
Det eneste, der holder scoren fra det absolutte maksimum, er at angriberen ikke kan ændre eller slette data (lav integritetspåvirkning) og ikke kan lamme din hjemmeside (ingen tilgængelighedspåvirkning).
Hvad gør jeg nu?
Følg disse trin hurtigst muligt for at beskytte din hjemmeside:
- Tjek om du bruger KissGallery: Log ind på din Joomla-administration og gå til udvidelseslisten. Kig efter KissGallery version 1.0.0.
- Deaktiver udvidelsen straks: Hvis du finder KissGallery, skal du deaktivere og afinstallere den med det samme, da der ikke er en opdateret version tilgængelig.
- Erstat med et alternativ: Find en anden, aktivt vedligeholdt galleri-udvidelse til Joomla, der modtager sikkerhedsopdateringer.
- Gennemgå dine logfiler: Bed din webhost eller IT-ansvarlige om at tjekke serverloggene for mistænkelig trafik mod kissgallery-adressen for at se, om nogen allerede har forsøgt et angreb.
- Skift adgangskoder: Skift adgangskoder for alle administratorbrugere på hjemmesiden som en sikkerhedsforanstaltning.
- Overvej en sikkerhedsscanning: Få en tekniker til at scanne din hjemmeside og database for tegn på uautoriseret adgang.
Handl inden for 24-48 timer
Da der ikke findes en officiel sikkerhedsopdatering til KissGallery 1.0.0, er den eneste sikre løsning at afinstallere udvidelsen øjeblikkeligt. Udvidelsen er gammel og ser ikke ud til at være under aktiv udvikling, så det er usandsynligt, at en patch kommer. Vi anbefaler, at du erstatter den med en nyere og vedligeholdt alternativ galleri-løsning. Kontakt din webmaster eller Auroa, hvis du har brug for hjælp til at vurdere din Joomla-installations samlede sikkerhed.
Tidslinje
Konkrete eksempler
Udtræk af adminadgangskoder via URL
En angriber besøger din Joomla-hjemmeside og tilføjer skadelig SQL-kode direkte i adressen til KissGallery-komponenten, f.eks.: dinhjemmeside.dk/index.php?option=com_kissgallery&…UNION SELECT username,password…. Hjemmesiden sender forespørgslen videre til databasen uden at kontrollere indholdet, og svaret returnerer administratorens brugernavn og adgangskode (hash). Hackeren kan dernæst forsøge at knække adgangskoden og overtage hele hjemmesiden.
Masseudtræk af kundedata
En angriber bruger et automatiseret scanningsværktøj til at identificere Joomla-sider med KissGallery installeret på tværs af internettet. For hver sårbar hjemmeside kører værktøjet automatisk SQL-kommandoer, der udtrækker alle e-mailadresser og personoplysninger fra databasen. Disse data kan sælges videre eller bruges til phishing-kampagner (bedrageri-e-mails) rettet mod dine kunder.
Kortlægning som springbræt til videre angreb
En angriber bruger SQL-injektionen til at kortlægge din databases struktur og hente konfigurationsoplysninger, herunder databasebrugerens navn og server-stier. Med disse oplysninger kan angriberen forsøge yderligere angreb mod din webserver eller andre systemer, der er forbundet til den samme database — f.eks. et internt administrationssystem.
Ofte stillede spørgsmål
Hvad er SQL-injektion?
SQL-injektion er en angrebsmetode, hvor en hacker indsætter skadelige databasekommandoer i et felt eller en webadresse på din hjemmeside. Hvis hjemmesiden ikke filtrerer inputtet korrekt, sender den kommandoerne videre til databasen, som udfører dem. Det svarer til, at en fremmed kan styre dit arkivsystem blot ved at råbe de rigtige ord ind ad brevsprækken.
Kan jeg nøjes med at deaktivere KissGallery i stedet for at slette den?
Det er bedre end ingenting, men anbefalet at slette udvidelsen helt. En deaktiveret udvidelse kan i visse Joomla-konfigurationer stadig have tilgængelige URL-stier, som en angriber kan forsøge at ramme. Fuldstændig afinstallation er den sikreste løsning.
Hvordan ved jeg, om nogen allerede har udnyttet fejlen?
Du skal bede din webhost eller IT-ansvarlige om at gennemgå servernes adgangslogfiler (access logs). De skal søge efter usædvanlige forespørgsler til stier med ‘kissgallery’ i adressen, særligt forespørgsler med specialtegn som anførselstegn, bindestreger eller SQL-nøgleord som SELECT og UNION. Auroa kan hjælpe med denne analyse.
Berører det min virksomhed, hvis hjemmesiden 'bare' er et visitkort?
Ja, potentielt. Selv en simpel hjemmeside har en database i baggrunden med bl.a. adminbrugerens loginoplysninger. Hvis de stjæles, kan hackeren overtage hjemmesiden og f.eks. bruge den til at sprede malware til dine besøgende, hvilket kan skade dit omdømme og potentielt udløse GDPR-ansvar.
Er der andre Joomla-udvidelser, jeg bør tjekke?
Det er altid en god idé løbende at gennemgå alle dine installerede Joomla-udvidelser. Fjern dem du ikke bruger, og sørg for at opdatere dem du bruger. Du kan tjekke Joomlas officielle sårbarhedsdatabase på vel.joomla.org for at se, om nogen af dine udvidelser har kendte sikkerhedshuller.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Joomla! Component KissGallery 1.0.0 contains an SQL injection vulnerability that allows unauthenticated attackers to inject SQL commands through the component URL path. Attackers can supply malicious SQL code in the kissgallery endpoint to execute arbitrary database queries and extract sensitive information.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
