Oprogramowanie FUXA w wersjach do 1.2.9 zawiera niebezpieczną konfigurację domyślną, w której sekret JWT administratora nie jest ustawiony mimo włączonego uwierzytelniania. Niezaufany, zdalny atakujący może przejąć pełną kontrolę administracyjną nad systemem SCADA/HMI i wykonać dowolny kod na serwerze.
▸ Pokaż oryginał (EN)
FUXA is a web-based Process Visualization (SCADA/HMI/Dashboard) software. An insecure default configuration in FUXA allows an unauthenticated, remote attacker to gain administrative access and execute arbitrary code on the server. This affects FUXA through version 1.2.9 when authentication is enabled, but the administrator JWT secret is not configured. This issue has been patched in FUXA version 1.2.10.
Podatność wynika z połączenia dwóch błędów: użycia zakodowanego lub pustego sekretu JWT (CWE-321) oraz niebezpiecznej konfiguracji domyślnej (CWE-1188). Gdy administrator włączy uwierzytelnianie, ale nie skonfiguruje własnego sekretu JWT, aplikacja używa przewidywalnej wartości domyślnej. Atakujący może wykorzystać tę wiedzę do samodzielnego wygenerowania prawidłowego tokenu JWT z uprawnieniami administratora, bez znajomości żadnych poświadczeń. Posiadając token administratora, napastnik może następnie wykonać dowolny kod na serwerze hostującym aplikację FUXA.
Atakujący uzyskuje pełny dostęp administracyjny do systemu SCADA/HMI oraz możliwość zdalnego wykonania dowolnego kodu (RCE) na serwerze, co w środowiskach przemysłowych może prowadzić do zakłócenia lub sabotażu procesów technologicznych.
Należy zaktualizować FUXA do wersji 1.2.10, w której problem został załatany. Patch dostępny jest w repozytorium GitHub (commit ea7b3df066f9fdef8ecdce318398ae40546bc50d) oraz w oficjalnym wydaniu v1.2.10. Do czasu aktualizacji zaleca się izolację interfejsu webowego FUXA od sieci zewnętrznych oraz ręczne ustawienie silnego, losowego sekretu JWT w konfiguracji aplikacji.
Frangoteam FUXA w wersjach do 1.2.9 włącznie, gdy uwierzytelnianie jest włączone, lecz sekret JWT administratora nie został jawnie skonfigurowany
Podatność dotyczy oprogramowania klasy SCADA/HMI używanego w środowiskach przemysłowych (OT), co zwiększa potencjalne konsekwencje operacyjne naruszenia bezpieczeństwa. Szczegóły opublikowane zostały w GitHub Security Advisory GHSA-32cc-x95p-fxcg.
CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XFrangoteam Fuxa
APPFrangoteam< 1.2.10
Powiązane podatności
FUXA – pominięcie uwierzytelnienia przez nagłówek Referer prowadzące do RCE
FUXA SCADA/HMI: Auth Bypass + RCE przez API heartbeat
FUXA SCADA/HMI – pominięcie uwierzytelnienia umożliwiające RCE przez plugin Node-RED
Path traversal w FUXA SCADA/HMI umożliwia zapis dowolnych plików
FUXA SCADA: authorization bypass umożliwia modyfikację schedulerów bez uwierzytelnienia