W oprogramowaniu FUXA (web-based SCADA/HMI/Dashboard) przed wersją 1.2.10 istnieje krytyczna luka umożliwiająca nieuwierzytelnionemu, zdalnemu atakującemu uzyskanie dostępu administracyjnego. Podatność pozwala następnie na wykonanie dowolnego kodu na serwerze, co w środowiskach przemysłowych stanowi wyjątkowo poważne zagrożenie.
▸ Pokaż oryginał (EN)
FUXA is a web-based Process Visualization (SCADA/HMI/Dashboard) software. Prior to 1.2.10, an authentication bypass vulnerability in FUXA allows an unauthenticated, remote attacker to gain administrative access via the heartbeat refresh API and execute arbitrary code on the server. This issue has been patched in FUXA version 1.2.10.
Luka wynika z błędu w mechanizmie uwierzytelniania (CWE-287) powiązanym z nieprawidłową kontrolą autoryzacji (CWE-285) w endpoint API odpowiedzialnym za odświeżanie heartbeat. Atakujący bez żadnych poświadczeń może wysłać odpowiednio spreparowane żądanie do tego API i ominąć standardową weryfikację tożsamości. Po uzyskaniu dostępu administracyjnego możliwe jest wykonanie dowolnego kodu na serwerze (RCE). Atak nie wymaga interakcji użytkownika ani szczególnych warunków sieciowych.
Atakujący uzyskuje pełną kontrolę administracyjną nad instancją FUXA oraz może wykonać dowolny kod na serwerze, co w środowisku SCADA/HMI może prowadzić do zakłócenia lub przejęcia kontroli nad procesami przemysłowymi.
Należy niezwłocznie zaktualizować FUXA do wersji 1.2.10 lub nowszej, w której podatność została załatana. Szczegóły patcha dostępne są w repozytorium GitHub producenta (commit fe82348d160904d0013b9a3e267d50158f5c7afb) oraz w security advisory GHSA-vwcg-c828-9822.
Frangoteam FUXA w wersjach przed 1.2.10
Oprogramowanie FUXA służy do wizualizacji procesów przemysłowych (SCADA/HMI), co oznacza, że podatność może dotyczyć infrastruktury krytycznej. CVSS wynosi 10.0 (maksymalny), jednak brak wpisu w CISA KEV. Podatność zgłoszona i naprawiona w ramach GitHub Security Advisories.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XFrangoteam Fuxa
APPFrangoteam< 1.2.10
Powiązane podatności
FUXA – pominięcie uwierzytelnienia przez nagłówek Referer prowadzące do RCE
FUXA SCADA: domyślny sekret JWT umożliwia nieautoryzowany dostęp i RCE
FUXA SCADA/HMI – pominięcie uwierzytelnienia umożliwiające RCE przez plugin Node-RED
Path traversal w FUXA SCADA/HMI umożliwia zapis dowolnych plików
FUXA SCADA: authorization bypass umożliwia modyfikację schedulerów bez uwierzytelnienia