CVE-2019-25753: SQL-fejl i Joomla VMap 1.9.6
Kritisk SQL-fejl i Joomla-komponent VMap giver ukendte angribere direkte adgang til din database uden login.
Hvad er det?
CVE-2019-25753 er en SQL-injection-sårbarhed (en fejl hvor ondsindet kode kan smugles ind i databaseforespørgsler) i tilføjelseskomponenten VMap version 1.9.6 til Joomla!. Angribere kan sende en særligt udformet webanmodning til din hjemmeside og derved manipulere de databaseforespørgsler, som komponenten udfører. Det kræver ingen brugernavn, adgangskode eller særlige rettigheder — alle, der kan tilgå din hjemmeside, kan forsøge angrebet. Fejlen sidder i parameteren latlngbound, som bruges til at indlæse kortmarkører, og udnyttes via en simpel GET-anmodning til Joomla-systemets index.php-fil.
Hvem rammer det?
Sårbarheden rammer alle, der driver en Joomla!-hjemmeside med VMap-komponenten i version 1.9.6 installeret og aktiveret. Det er typisk virksomheder og organisationer, der bruger VMap til at vise interaktive kort med lokationer på deres hjemmeside — for eksempel butiksfinder, ejendomsmæglersider eller kontaktsider med kortvisning. Hvis du ikke bruger Joomla! eller ikke har VMap installeret, er du ikke i risikogruppen.
Hvad kan ske?
En angriber kan udnytte fejlen til at trække følsomme oplysninger ud af din database — herunder brugernavne, adgangskoder, e-mailadresser, kundedata og andre fortrolige oplysninger, der er gemt på din hjemmeside. Angriberen kan også forsøge at ændre data i databasen i begrænset omfang. I praksis betyder det risiko for datalæk, eksponering af personoplysninger (med potentielle GDPR-konsekvenser) og i værste fald, at angriberen skaffer sig adgang til administratorkontoen på din Joomla!-installation.
Hvor alvorligt er det?
Sårbarheden er vurderet til CVSS-score 8.2 ud af 10, hvilket klassificeres som alvorlig. Det skyldes primært, at angrebet kan udføres over internettet uden nogen form for login eller særlige forudsætninger, og at det kan kompromittere fortrolige data i høj grad. Der kræves ingen interaktion fra dine brugere, og angrebets kompleksitet er lav — det er med andre ord relativt nemt at udnytte for en angriber med grundlæggende teknisk viden.
Hvad gør jeg nu?
Følg disse trin for at beskytte din Joomla!-hjemmeside hurtigst muligt:
- Tjek om du bruger VMap: Log ind på din Joomla!-administrator og gå til Udvidelser → Administrer. Søg efter ‘VMap’ og notér versionsnummeret.
- Deaktiver komponenten midlertidigt: Hvis du bruger VMap 1.9.6, så deaktiver komponenten med det samme, indtil en opdatering er tilgængelig eller installeret. Det gøres under Udvidelser → Administrer ved at sætte komponenten som inaktiv.
- Opdater eller udskift komponenten: Undersøg om udvikleren af VMap har udgivet en opdateret version, der lukker denne sårbarhed. Hvis ikke, bør du overveje en alternativ kortkomponent.
- Gennemgå dine logfiler: Bed din webmaster eller IT-leverandør om at gennemgå serverlogfiler for mistænkelige anmodninger til index.php med parametrene option=com_vmap og task=loadmarker.
- Skift adgangskoder: Som en sikkerhedsforanstaltning bør du skifte adgangskoden til din Joomla!-administrator samt eventuelle databaseadgangskoder.
- Kontakt din IT-leverandør: Hvis du er i tvivl om noget af ovenstående, så kontakt din webmaster eller IT-support for hjælp.
Handl inden for 24-48 timer
Deaktiver VMap-komponenten øjeblikkeligt, hvis din hjemmeside kører version 1.9.6, og hold den deaktiveret, indtil en sikkerhedsopdatering er tilgængelig. Sårbarheden er nem at udnytte og kræver ingen teknisk ekspertise fra angriberens side. Få din webmaster til at gennemgå logfiler for tegn på allerede udnyttede anmodninger, og vurder om personoplysninger kan være blevet eksponeret — i så fald har du pligt til at underrette Datatilsynet inden for 72 timer i henhold til GDPR.
Tidslinje
Konkrete eksempler
Udtræk af administrator-adgangskode
En angriber sender en GET-anmodning til din hjemmeside på adressen index.php?option=com_vmap&task=loadmarker&latlngbound=[SQL-kode], hvor SQL-koden er konstrueret til at hente brugertabellen fra Joomla!-databasen. På den måde kan angriberen udtrække brugernavne og krypterede adgangskoder for alle administratorer på din hjemmeside. Med adgang til disse oplysninger kan angriberen forsøge at knække adgangskoderne offline og efterfølgende logge ind som administrator.
Masseudtræk af kundedata
Hvis din Joomla!-hjemmeside gemmer kundeoplysninger — for eksempel via et tilmeldingsformular, en webshop eller et nyhedsbrev — kan angriberen bruge SQL-injection til systematisk at dumpe hele databasen. Det kan resultere i, at navne, e-mailadresser, telefonnumre og eventuelle betalingsoplysninger havner i hænderne på cyberkriminelle, som efterfølgende kan sælge dem eller bruge dem til phishing-angreb mod dine kunder.
Automatiseret masseangreb via botnet
Efter CVE-offentliggørelsen kan automatiserede angrebsværktøjer (bots) programmeres til at scanne internettet for Joomla!-sites med VMap installeret og automatisk udnytte sårbarheden uden menneskelig indgriben. En angriber kan på den måde angribe tusindvis af hjemmesider på én gang uden at kende til dine specifikke data i forvejen — det er ikke et målrettet angreb, men et opportunistisk masseangreb.
Ofte stillede spørgsmål
Hvad er SQL-injection, og hvorfor er det farligt?
SQL-injection er en angrebsmetode, hvor en angriber smugler ondsindet kode ind i de forespørgsler, din hjemmeside sender til sin database. I stedet for blot at hente kortmarkører kan angriberen manipulere forespørgslen til at udlevere alle data i databasen — herunder brugerdata, adgangskoder og kundeoplysninger. Det er en af de ældste og mest udbredte angrebstyper på hjemmesider.
Hvordan ved jeg, om min hjemmeside allerede er blevet angrebet?
Bed din webmaster eller IT-leverandør om at gennemgå serverens adgangslogfiler (access logs). I logfilerne skal du lede efter GET-anmodninger til index.php indeholdende parametrene option=com_vmap og task=loadmarker med usædvanlige tegn som enkeltcitationstegn (‘), UNION, SELECT eller lignende SQL-nøgleord i latlngbound-parameteren. Tegn på angreb kan også være usædvanligt stor datatrafik eller ukendte IP-adresser.
Er jeg forpligtet til at anmelde dette til Datatilsynet?
Ja, hvis du har grund til at tro, at personoplysninger er blevet tilgået eller eksponeret som følge af denne sårbarhed, er du som udgangspunkt forpligtet til at anmelde bruddet til Datatilsynet inden for 72 timer — det følger af GDPR-forordningens artikel 33. Kontakt eventuelt en juridisk rådgiver eller din databeskyttelsesrådgiver (DPO) for at vurdere omfanget, inden du anmelder.
Kan jeg bruge en WAF til at beskytte mig, mens jeg venter på en patch?
Ja, en WAF (Web Application Firewall — et filter der overvåger og blokerer ondsindet webtrafik) kan bruges som en midlertidig beskyttelse ved at blokere typiske SQL-injection-mønstre, inden de når din hjemmeside. Det er dog ikke en permanent løsning, og du bør stadig deaktivere den sårbare komponent og opdatere så hurtigt som muligt. Tal med din IT-leverandør om muligheden for at aktivere en WAF.
Påvirker dette min Joomla!-kerne eller kun VMap-komponenten?
Sårbarheden ligger udelukkende i VMap-komponenten og ikke i Joomla!-kernesystemet. Det betyder, at du ikke nødvendigvis behøver at opdatere hele din Joomla!-installation — det er tilstrækkeligt at deaktivere eller opdatere selve VMap-komponenten. Det er dog altid god praksis at holde Joomla!-kernen og alle øvrige komponenter opdaterede.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Joomla! Component VMap 1.9.6 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code into the latlngbound parameter. Attackers can send GET requests to index.php with the option=com_vmap&task=loadmarker parameters containing SQL injection payloads to manipulate database queries and extract sensitive information.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
