Duas vulnerabilidades de segurança foram divulgadas no sistema de rastreamento GPS Traccar, de código aberto, que podem ser potencialmente exploradas por atacantes não autenticados para alcançar execução de código remoto em determinadas circunstâncias.
Ambas as vulnerabilidades são falhas de path traversal e podem ser armadas se o registro de convidado estiver habilitado, o que é a configuração padrão para o Traccar 5, disse o pesquisador da Horizon3.ai, Naveen Sunkavally.
Uma breve descrição das falhas é a seguinte:
CVE-2024-24809
(pontuação CVSS: 8.5) - Path Traversal: 'dir/../../filename' e upload ilimitado de arquivo com tipo perigoso
CVE-2024-31214
(pontuação CVSS: 9.7) - Vulnerabilidade de upload ilimitado de arquivo na upload de imagem do dispositivo pode levar a execução de código remoto
"O resultado líquido do
CVE-2024-31214
e
CVE-2024-24809
é que um atacante pode colocar arquivos com conteúdo arbitrário em qualquer lugar no sistema de arquivos", disse Sunkavally.
No entanto, um atacante só tem controle parcial sobre o nome do arquivo. Os problemas têm a ver com como o programa lida com uploads de arquivos de imagem de dispositivo, permitindo efetivamente que um atacante sobrescreva certos arquivos no sistema de arquivos e acione execução de código.
Isso inclui arquivos que correspondem ao formato de nomeação abaixo:
device.ext, onde o atacante pode controlar ext, mas DEVE haver uma extensão blah", onde o atacante pode controlar blah, mas o nome do arquivo deve terminar com aspas duplas blah1";blah2=blah3, onde o atacante pode controlar blah1, blah2 e blah3, mas a sequência de aspas duplas ponto e vírgula e o símbolo de igual DEVEM estar presentes
Em um conceito de prova (PoC) hipotético elaborado pela Horizon3.ai, um adversário pode explorar o path traversal no cabeçalho Content-Type para fazer upload de um arquivo crontab e obter um shell reverso no host do atacante.
Este método de ataque, no entanto, não funciona em sistemas Linux baseados em Debian/Ubuntu devido a restrições de nomenclatura de arquivo que impedem que arquivos crontab tenham períodos ou aspas duplas.
Um mecanismo alternativo envolve tirar vantagem do Traccar estar instalado como um usuário de nível root para soltar um módulo de kernel ou configurar uma regra do udev para executar um comando arbitrário toda vez que um evento de hardware é levantado.
Em instâncias Windows suscetíveis, a execução de código remoto também poderia ser alcançada colocando um arquivo de atalho (LNK) nomeado "device.lnk" na pasta C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp, que é posteriormente executado quando qualquer usuário vítima faz login no host do Traccar.
As versões do Traccar 5.1 a 5.12 são vulneráveis ao
CVE-2024-31214
e
CVE-2024-2809
.
Os problemas foram abordados com o lançamento do Traccar 6 em abril de 2024, que desativa o auto-registro por padrão, reduzindo assim a superfície de ataque.
"Se a configuração de registro for verdadeira, readOnly for falso, e deviceReadonly for falso, então um atacante não autenticado pode explorar essas vulnerabilidades", disse Sunkavally.
Essas são as configurações padrão para o Traccar 5.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...