Zaskakujące odkrycie w świecie oprogramowania parafialnego

Czasem najbardziej niepozorne historie prowadzą do sensacji. Nasz Czytelnik, Mateusz Sirko, postanowił pomóc organistce, która zmagała się z wdrożeniem programu FARA – aplikacji do zarządzania parafią. To, co miało być rutynową pomocą, przerodziło się w poważną sprawę, która zakończyła się zgłoszeniem krytycznej podatności CVE, przeprowadzonym przez CERT Polska.

Niebezpieczny skrypt, który przeszedł przez sito

Program FARA, używany przez liczne polskie parafie do zarządzania danymi wiernych, wymaga od użytkowników umieszczenia na serwerze tajemniczego pliku: 1-skrypt.php. Mateusz, badając ten skrypt, natrafił na alarmujące nieprawidłowości. Okazało się, że był on prawdziwą furtką do parafialnych danych, otwierającą serwery dla każdego, kto znał jego adres.

Dalsze odkrycia: zagrożenia w kodzie źródłowym

Mateusz poszedł o krok dalej i przeanalizował kod źródłowy aplikacji, zauważając, że FARA została napisana w przestarzałym Visual FoxPro. Dzięki technikom inżynierii wstecznej odkrył szereg krytycznych luk.

Backdoor na życzenie klienta

Kluczowym problemem okazała się funkcja upload() w skrypcie 1-skrypt.php, która umożliwiała wgrywanie dowolnych plików na serwer bez jakiejkolwiek weryfikacji. To otwierało drzwi dla hakerów, gotowych do działania.

Dane dostępu na tacy

Podczas szczegółowej analizy Mateusz odkrył, że aplikacja zawierała twardo zakodowane dane dostępu do serwera FTP producenta. To stwarzało możliwość zamiany aktualizacji na złośliwe oprogramowanie, które mogło zainfekować wiele parafii.

Jedno hasło rządzi nimi wszystkimi

Jednym z najpoważniejszych wykryć były uniwersalne hasła do lokalnych baz danych SQLite, zawierających dane parafian. Każdy użytkownik miał dostęp do tych samych haseł, co czyniło bezpieczeństwo danych iluzorycznym.

Komunikacja w opresyjnym stylu

Gdy Mateusz postanowił zgłosić problem producentowi, jego reakcja była zdumiewająca – zbagatelizowanie zagrożenia zmusiło go do kontaktu z CERT Polska. Odpowiedzi producenta były dalekie od oczekiwań, z pełnym zaprzeczeniem istnienia zgłaszanych luk.

Test czasu i presja CERT

Dzięki determinacji Mateusza oraz interwencji CERT Polska, proces naprawy zaczął w końcu postępować. Producent przyznał się do błędów i rozpoczął ich łatanie, ale nie obyło się bez trudności.

Cisza po burzy

Mimo opublikowanego identyfikatora CVE, producent nie poinformował swoich klientów o wykrytych lukach ani o dostępnych aktualizacjach. Taki brak komunikacji mógł prowadzić do poważnych konsekwencji, stawiając setki parafii w niebezpieczeństwie.

Najważniejsza lekcja

Historia FARA pokazuje, jak kluczowa jest właściwa reakcja na zgłaszane problemy. Ignorowanie lub atakowanie informatorów zamiast rozwiązywania problemów może prowadzić do katastrofalnych skutków. Warto docenić determinację Mateusza, która przyczyniła się do poprawy bezpieczeństwa tysięcy osób.