Krytyczna luka w programie FARA. Odkrył zagrożenie dla parafii

Pierwsze sygnały o problemach z bezpieczeństwem programu FARA pojawiły się, gdy jeden z czytelników Niebezpiecznika, Mateusz, został poproszony o pomoc przy wdrożeniu systemu w parafii. Analizując plik 1-skrypt.php, nie spodziewał się, że odkryje poważne zagrożenie dla tysięcy użytkowników. Program FARA, szeroko stosowany do zarządzania danymi parafian, intencjami mszalnymi i cmentarzami, wymagał umieszczenia na serwerze pliku, który okazał się otwartą furtką dla potencjalnych atakujących.

• W programie FARA, popularnym w polskich parafiach, wykryto krytyczną podatność związaną z hardkodowanymi hasłami do baz danych.
• Zgłoszenie problemu przez czytelnika portalu Niebezpiecznik.pl doprowadziło do oficjalnego nadania numeru CVE-2025-4049 i interwencji CERT Polska.
• Producent oprogramowania długo zwlekał z naprawą i nie poinformował klientów o zagrożeniu ani o dostępności aktualizacji.

Jak czytamy na Niebezpieczniku, Mateusz zauważył, że skrypt 1-skrypt.php pozwalał na wgrywanie dowolnych plików na serwer parafii bez żadnej kontroli. To oznaczało, że każdy, kto znał adres pliku, mógł przejąć kontrolę nad stroną i danymi. Dalsza analiza desktopowej aplikacji FARA, napisanej w Visual FoxPro, ujawniła jeszcze poważniejsze problemy. W kodzie programu znajdowały się zaszyte dane dostępowe do serwera FTP producenta, z którego pobierane były aktualizacje. Atakujący mógł podmienić pliki aktualizacyjne na zainfekowane, co groziło masowym zainstalowaniem złośliwego oprogramowania w parafiach korzystających z FARA.

Najpoważniejszym odkryciem były jednak uniwersalne hasła do lokalnych baz danych SQLite. Każdy klient używał tych samych danych dostępowych, co oznaczało, że osoba mająca dostęp do pliku bazy mogła bez trudu odszyfrować jej zawartość.

"Skrypt ten, po umieszczeniu na serwerze parafii (często pod nazwą fara_iwg.php), stawał się otwartą furtką dla każdego, kto znał jego adres. A znalezienie go nie było trudne – wystarczyło skorzystać z publicznie dostępnych list parafii" - czytamy. "Funkcja upload() pozwalała na wgranie na serwer dowolnego pliku, bez żadnej weryfikacji jego typu, rozmiaru czy zawartości."

Po wykryciu zagrożenia Mateusz postanowił zgłosić problem producentowi. 17 lutego wysłał maila, jednak nie otrzymał odpowiedzi. Kolejna próba kontaktu telefonicznego zakończyła się nieprzyjemną rozmową i zbagatelizowaniem zagrożenia. W tej sytuacji sprawa trafiła do CERT Polska, który rozpoczął oficjalną koordynację zgłoszenia podatności.

Proces naprawy trwał od marca do końca czerwca. Pierwsza poprawiona wersja programu nadal zawierała hardkodowane hasła, tylko przeniesione w inne miejsce. Dodatkowo w kodzie pojawił się zakodowany komunikat Base64. Ostatecznie, po kolejnych interwencjach, podatności usunięto w wersji 5.0.80.35, a 21 lipca 2025 r. opublikowano oficjalny identyfikator CVE-2025-4049.

"Dopiero po kolejnych interwencjach i szczegółowych raportach ze strony znalazcy, podatności zostały ostatecznie usunięte w wersji 5.0.80.35. Ostatecznie, 21 lipca 2025 roku, po ponad pięciu miesiącach od pierwszego zgłoszenia, opublikowano oficjalny identyfikator podatności: CVE-2025-4049, opisujący problem z hardkodowanymi hasłami do baz SQLite" - czytamy.

Skala zagrożenia była ogromna – dostęp do serwera FTP umożliwiał podmianę oficjalnej wersji programu na zainfekowaną, co mogło doprowadzić do masowego wycieku danych osobowych z ponad 4 tys. parafii w Polsce. Historia programu FARA pokazuje, jak ważna jest szybka reakcja na zgłoszenia błędów i transparentna komunikacja z klientami.

Dzięki determinacji Mateusza i wsparciu CERT Polska udało się załatać krytyczne luki, które mogły doprowadzić do poważnych konsekwencji dla tysięcy użytkowników. Sprawa ta jest przestrogą dla wszystkich producentów oprogramowania, jak ważne jest odpowiedzialne podejście do bezpieczeństwa i komunikacji z klientami.