CVE-2017-20271: SQL-fejl i Joomla StreetGuessr
Joomla-udvidelsen StreetGuessr Game 1.1.8 har en kritisk SQL-fejl, der giver angribere adgang til din database uden login.
Hvad er det?
CVE-2017-20271 er en SQL-injektionssårbarhed (en fejl hvor angribere kan snige ondsindet kode ind i databaseforespørgsler) i Joomla-udvidelsen StreetGuessr Game version 1.1.8. Fejlen sidder i en bestemt URL-parameter kaldet catid. Når en angriber sender en særligt udformet webanmodning til din hjemmeside, kan han eller hun få databasen til at udlevere følsomme oplysninger — uden at skulle logge ind eller have særlige rettigheder. Det kræver ingen avancerede værktøjer og kan udføres af stort set enhver med lidt teknisk viden.
Hvem rammer det?
Sårbarheden rammer alle, der driver en Joomla-baseret hjemmeside med udvidelsen StreetGuessr Game i version 1.1.8 installeret og aktiveret. Det gælder typisk:
- Virksomheder og foreninger med en Joomla-hjemmeside, der bruger denne udvidelse til interaktivt kortspil eller lignende underholdning
- Webshops eller portaler bygget på Joomla, hvor udvidelsen er installeret men måske ikke aktivt bruges
- Bureauer der har bygget Joomla-løsninger for kunder og potentielt har installeret udvidelsen
Har du ikke Joomla eller ikke denne specifikke udvidelse, er du ikke berørt.
Hvad kan ske?
En angriber kan udnytte fejlen til at trække oplysninger ud af din database. I praksis betyder det:
- Datalæk: Angriberen kan læse databasens indhold — herunder brugernavne, adgangskoder (også krypterede), e-mailadresser og andre følsomme kundeoplysninger
- Kortlægning af systemet: Angriberen kan finde ud af, hvilken database-software du kører og dens version, hvilket gør det lettere at planlægge yderligere angreb
- Brud på GDPR: Hvis personoplysninger lækkes, kan du have pligt til at anmelde bruddet til Datatilsynet inden for 72 timer og risikere bøder
Sårbarheden påvirker primært fortrolighed (datalæk) og i mindre grad dataintegritet. Den lukker ikke din hjemmeside ned, men kan have alvorlige konsekvenser for dine kunder og dit omdømme.
Hvor alvorligt er det?
Sårbarheden er vurderet til 8.2 ud af 10 (Alvorlig) af det internationale CVSS-system. Den scorer højt fordi:
- Angrebet kan udføres over internettet fra hvor som helst i verden
- Det kræver ingen login eller særlige rettigheder
- Det kræver ingen handling fra dig eller dine brugere — angriberen handler alene
- Angrebet er teknisk enkelt at udføre
Kombinationen af lav sværhedsgrad for angriberen og høj konsekvens for dig gør dette til en sårbarhed, der skal tages alvorligt og håndteres hurtigt.
Hvad gør jeg nu?
Følg disse trin for at beskytte din Joomla-hjemmeside:
- Tjek om du er berørt: Log ind i dit Joomla-kontrolpanel og gå til Udvidelser → Administrer. Søg efter ‘StreetGuessr’ og kontrollér versionen.
- Deaktivér udvidelsen midlertidigt: Hvis du finder StreetGuessr Game 1.1.8, deaktivér den straks indtil en opdatering er tilgængelig. Det fjerner angrebsfladen med det samme.
- Tjek for opdatering: Besøg udvidelsens officielle side på Joomla Extensions Directory og se, om der er en nyere version end 1.1.8 med en sikkerhedsrettelse.
- Overvej en Web Application Firewall (WAF): En WAF kan filtrere ondsindet trafik fra og blokere SQL-injektionsforsøg, mens du venter på en patch.
- Gennemgå dine logs: Bed din webhost eller IT-ansvarlige om at tjekke serverlogs for mistænkelige forespørgsler med parametrene
option=com_streetguessogcatid. - Skift adgangskoder: Hvis du mistænker, at nogen allerede har udnyttet fejlen, så skift adgangskoder i din database og kontakt evt. Datatilsynet.
Hurtigt — deaktivér nu, patch snarest
Vores klare anbefaling er at deaktivere StreetGuessr Game-udvidelsen med det samme, hvis du har den installeret. En SQL-injektionsfejl af denne type er nem at udnytte, og da der endnu ikke foreligger en officiel patch, er deaktivering den hurtigste og sikreste løsning. Kontakt din webudvikler eller webhost for hjælp, og hold øje med udvidelsens opdateringsside for en kommende sikkerhedsrettelse.
Tidslinje
Konkrete eksempler
Angriber udtrækker brugerdata via URL
En angriber besøger din Joomla-hjemmeside og sender en særligt udformet URL til adressen index.php?option=com_streetguess&view=maps&catid=1 UNION SELECT username,password FROM jos_users--. Databasen tolker dette som en gyldig forespørgsel og returnerer brugernavne og krypterede adgangskoder for alle brugere — herunder din administrator. Angriberen behøver ingen konto og efterlader kun sparsomme spor i logfilerne.
Automatiseret scanning finder din hjemmeside
Cyberkriminelle bruger automatiserede scanningsværktøjer, der kontinuerligt søger internettet igennem for kendte sårbare Joomla-udvidelser. Når dit websted identificeres som kørende StreetGuessr Game 1.1.8, startes et automatisk angreb inden for minutter — uden at nogen mennesker er direkte involveret. Denne type masseangreb rammer typisk hundredvis af hjemmesider på kort tid.
Kortlægning som springbræt til videre angreb
En angriber bruger sårbarheden til først at kortlægge din databases struktur og version. Med disse oplysninger kan han eller hun identificere yderligere kendte svagheder i netop din databaseversion og kombinere angrebene for at eskalere adgangen — for eksempel til at ændre indhold på din hjemmeside eller plante ondsindet kode (malware).
Ofte stillede spørgsmål
Jeg ved ikke, om jeg har StreetGuessr installeret — hvordan finder jeg ud af det?
Log ind i dit Joomla-kontrolpanel (normalt via din-hjemmeside.dk/administrator). Gå til menuen Udvidelser → Administrer og brug søgefeltet til at søge efter ‘StreetGuessr’ eller ‘streetguess’. Hvis udvidelsen dukker op og viser version 1.1.8, er du berørt. Er du usikker, kan din webhost eller webudvikler hjælpe dig på få minutter.
Kan angriberen overtage hele min hjemmeside med denne fejl?
Ikke direkte via denne sårbarhed alene. Fejlen giver primært adgang til at læse data fra din database — ikke til at overtage serveren eller slette filer. Men hvis databasen indeholder administratoradgangskoder, kan en angriber potentielt bruge dem til at logge ind som administrator og derefter gøre mere skade. Det er derfor vigtigt at handle hurtigt.
Er mine kunders data blevet stjålet?
Det er ikke muligt at sige med sikkerhed uden at undersøge dine serverlogs. Hvis du har haft udvidelsen aktiv og tilgængelig online, anbefaler vi, at du beder din webhost om at gennemgå logs for mistænkelig aktivitet. Finder I tegn på udnyttelse, har du sandsynligvis pligt til at anmelde det til Datatilsynet inden for 72 timer i henhold til GDPR.
Hvornår kommer der en opdatering til udvidelsen?
På nuværende tidspunkt er der ikke offentliggjort en officiel patch fra udvikleren af StreetGuessr Game. Hold øje med Joomla Extensions Directory og udvidelsens officielle kanal. Indtil en opdatering foreligger, er den bedste løsning at deaktivere udvidelsen.
Hvad er SQL-injektion, og hvorfor er det farligt?
SQL-injektion er en teknik, hvor en angriber sniger ondsindet kode ind i en forespørgsel, som din hjemmeside sender til databasen. Forestil dig, at din database er et arkivrum — SQL-injektion er som at snige en falsk nøgle ind i låsen, der åbner alle skuffer på én gang. Det er en af de ældste og mest velkendte angrebsmetoder, og præcis derfor har angribere færdige værktøjer til det.
Bruger vi ikke StreetGuessr aktivt — er vi stadig i fare?
Ja, desværre. Så længe udvidelsen er installeret på din Joomla-installation — selv hvis den ikke er synlig for besøgende — kan sårbarheden stadig udnyttes, fordi URL-adressen til det sårbare script stadig er tilgængeligt. Du bør deaktivere og afinstallere udvidelsen for at være på den sikre side.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Joomla StreetGuessr Game 1.1.8 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the catid parameter. Attackers can send GET requests to index.php with the option=com_streetguess&view=maps parameters and inject SQL code in the catid parameter to extract sensitive database information including version and database names.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
