CVE-2019-25758: Joomla vBizz filupload-sårbarhed
Kritisk fejl i Joomla-komponent vBizz giver hackere mulighed for at overtage din hjemmeside via filupload.
Hvad er det?
CVE-2019-25758 er en sikkerhedsfejl i tilføjelsesprogrammet (komponenten) vBizz version 1.0.7 til hjemmesideplatformen Joomla. Fejlen skyldes, at systemet ikke kontrollerer, hvilken type filer der uploades via profilbilledefeltet. En angriber kan derfor uploade en skadelig PHP-fil (et programscript) i stedet for et billede. Når filen er uploadet, kan angriberen åbne den direkte i browseren og dermed køre vilkårlig kode på din webserver. Det giver angriberen fuld kontrol over den berørte hjemmeside og potentielt hele serveren.
Hvem rammer det?
Sårbarheden rammer virksomheder og organisationer, der driver en Joomla-baseret hjemmeside med komponenten vBizz 1.0.7 installeret. vBizz er en forretningskomponent til Joomla, der typisk bruges til at håndtere medarbejderprofiler og virksomhedsinformation. Hvis du ikke ved, om din Joomla-side bruger vBizz, bør du få din webudvikler til at tjekke det med det samme.
Hvad kan ske?
Hvis en angriber udnytter fejlen, kan følgende ske:
- Fuld overtagelse af hjemmesiden: Angriberen kan ændre, slette eller erstatte alt indhold på siden.
- Datatyveri: Kundedata, loginoplysninger og andre fortrolige oplysninger kan blive stjålet.
- Malware-distribution: Din hjemmeside kan bruges til at sprede virus og svindel til dine besøgende.
- Serverovertagelse: I alvorlige tilfælde kan angriberen bevæge sig videre til andre systemer på samme server.
- Omdømmeskade og bøder: Et brud kan udløse GDPR-bøder og skade forholdet til kunder og samarbejdspartnere.
Hvor alvorligt er det?
Sårbarheden er vurderet til 8.8 ud af 10 (Alvorlig) efter den internationale CVSS-skala. Det er en høj score, fordi:
- Angrebet kan udføres over internettet uden fysisk adgang.
- Det kræver kun en almindelig brugerkonto — ikke administratorrettigheder — for at udnytte fejlen.
- Angriberen opnår fuld kontrol over fortrolighed, integritet og tilgængelighed af dine data og systemer.
- Angrebet kræver ingen hjælp fra dig eller andre brugere for at lykkes.
Fejltypen (CWE-434) er en klassisk og velkendt angrebsmetode, som hackere har erfaring med at udnytte effektivt.
Hvad gør jeg nu?
Følg disse trin så hurtigt som muligt for at beskytte din hjemmeside:
- Find ud af om du er berørt: Spørg din webudvikler om vBizz-komponenten er installeret på din Joomla-side, og hvilken version der er tale om.
- Deaktivér eller afinstallér vBizz midlertidigt: Hvis du bruger vBizz 1.0.7 og ikke kan opdatere med det samme, så deaktivér komponenten i Joomla-administrationen, indtil en løsning er på plads.
- Tjek for tegn på kompromittering: Bed din webudvikler gennemgå upload-mappen på serveren for ukendte PHP-filer og kontrollér adgangslogfiler for mistænkelig aktivitet.
- Opdatér eller skift komponent: Undersøg om der findes en opdateret version af vBizz der løser problemet, eller overvej et alternativ.
- Skift adgangskoder: Nulstil adgangskoder for alle Joomla-brugerkonti, særligt dem med adgang til medarbejderprofiler.
- Kontakt din it-sikkerhedspartner: Hvis du er i tvivl om din sides status, så få professionel hjælp til at vurdere risikoen.
Handle inden for 24-48 timer
Auroa anbefaler, at du straks kontakter din webudvikler og får afklaret, om vBizz er installeret på din Joomla-side. Hvis det er tilfældet, bør komponenten deaktiveres øjeblikkeligt, indtil en sikker løsning foreligger. Du bør samtidig få gennemgået serverens uploadmappe for tegn på skadelige filer. Denne type sårbarhed er alvorlig og velkendt af hackere — det er ikke noget, du bør udskyde.
Tidslinje
Konkrete eksempler
Medarbejder uploader skadeligt script
En angriber opretter eller overtager en medarbejderkonto på en Joomla-side med vBizz installeret. Via medarbejderprofilens billedeupload-funktion sender angriberen en PHP-fil forklædt som et profilbillede. Serveren gemmer filen uden at kontrollere, om det rent faktisk er et billede. Angriberen åbner derefter filen direkte i sin browser via en URL til upload-mappen og udløser dermed PHP-koden, som giver fuld kontrol over hjemmesiden.
Tidligere medarbejder misbruger sin gamle konto
En virksomhed har en Joomla-hjemmeside med vBizz og glemmer at slette en fratrådt medarbejders brugerkonto. Den tidligere medarbejder — eller en person der har fået fat i kontooplysningerne — logger ind og uploader en ondsindet PHP-fil via profilbilledefeltet. Filen bruges til at stjæle kundedata fra hjemmesiden og plante skjult malware, som aktiveres på et senere tidspunkt.
Automatiseret angreb via scanningsværktøj
Hackere bruger automatiske scanningsværktøjer til at identificere Joomla-sider med vBizz 1.0.7 på tværs af internettet. Når en sårbar side er fundet, forsøger angrebet automatisk at registrere en ny brugerkonto (hvis selvregistrering er aktiveret) og uploade en PHP-bagdør. Denne metode gør det muligt at ramme mange hjemmesider på kort tid, uden at angriberen behøver at kende den specifikke virksomhed på forhånd.
Ofte stillede spørgsmål
Hvad er Joomla og vBizz?
Joomla er et populært og gratis system til at bygge og drive hjemmesider — lidt ligesom WordPress. vBizz er et tilføjelsesprogram (kaldet en komponent) til Joomla, der bruges til at håndtere virksomheds- og medarbejderrelaterede funktioner på hjemmesiden. Det er i denne komponent, fejlen befinder sig.
Skal angriberen have en konto på min hjemmeside for at udnytte fejlen?
Ja, angriberen skal have en almindelig brugerkonto på din Joomla-side — men det behøver ikke at være en administratorkonto. Det betyder, at selv en lavprivilegeret bruger, for eksempel en tidligere medarbejder eller en konto oprettet med et svagt kodeord, kan misbruges til at gennemføre angrebet.
Hvordan ved jeg, om min hjemmeside allerede er blevet angrebet?
Bed din webudvikler undersøge upload-mappen på din webserver for ukendte eller mistænkelige filer, særligt filer med filendelsen .php. Derudover bør serverens adgangslogfiler (access logs) gennemses for unormale forespørgsler til upload-stier. Hvis du er usikker, kan Auroa hjælpe med en sikkerhedsgennemgang.
Er der en opdatering, der løser problemet?
På nuværende tidspunkt er der ikke bekræftet en officiel opdatering til vBizz 1.0.7, der løser denne sårbarhed. Det bedste du kan gøre nu er at deaktivere eller fjerne komponenten fra din Joomla-installation, og følge med i om producenten udgiver en opdatering. Overvej også om der findes et alternativt og vedligeholdt tilføjelsesprogram, der opfylder samme behov.
Kan mit webhotel beskytte mig mod dette angreb?
Nogle webhostingudbydere har sikkerhedsfiltre (WAF — Web Application Firewall), der kan blokere kendte angrebsmønstre. Du bør kontakte dit webhotel og spørge, om de har sådanne beskyttelser aktive. Men det erstatter ikke en egentlig løsning — deaktivering af den sårbare komponent er stadig nødvendig.
Hvad er GDPR-konsekvenserne, hvis vi bliver ramt?
Hvis persondata om kunder, medarbejdere eller andre registrerede kommer i hænderne på uvedkommende som følge af angrebet, er du forpligtet til at anmelde bruddet til Datatilsynet inden for 72 timer. Manglende anmeldelse eller utilstrækkelig beskyttelse kan medføre bøder. Det er derfor vigtigt at handle hurtigt og dokumentere alle skridt, du tager.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Joomla! Component vBizz 1.0.7 contains an unrestricted file upload vulnerability that allows authenticated attackers to upload arbitrary PHP files by submitting malicious files through the profile_pic parameter. Attackers can upload PHP files via POST requests to the employee view endpoint and execute them from the uploads directory to achieve remote code execution.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
