Clicky

Fallas críticas en el sistema GPS Traccar exponen a los usuarios a ataques remotos

GPS Traccar

Un atacante podría colocar archivos con contenido arbitrario

Se han revelado dos vulnerabilidades de seguridad en el sistema de seguimiento GPS de código abierto Traccar que podrían ser explotadas por atacantes no autenticados para lograr la ejecución remota de código en determinadas circunstancias.

Ambas vulnerabilidades son fallas de recorrido de ruta y podrían usarse como arma si se habilita el registro de invitados, que es la configuración predeterminada para Traccar 5, dijo el investigador de Horizon3.ai, Naveen Sunkavally.

A continuación se incluye una breve descripción de las deficiencias:

CVE-2024-24809 (puntuación CVSS: 8,5): recorrido de ruta: 'dir/../../filename' y carga sin restricciones de archivos con tipo peligroso
CVE-2024-31214 (puntuación CVSS: 9,7): una vulnerabilidad de carga de archivos sin restricciones en la carga de imágenes del dispositivo podría provocar la ejecución remota de código

"El resultado neto de CVE-2024-31214 y CVE-2024-24809 es que un atacante podría colocar archivos con contenido arbitrario en cualquier parte del sistema de archivos", dijo Sunkavally. "Sin embargo, un atacante solo tiene control parcial sobre el nombre del archivo".

Los problemas tienen que ver con la forma en que el programa maneja las cargas de archivos de imágenes de dispositivos, lo que permite que un atacante sobrescriba ciertos archivos en el sistema de archivos y active la ejecución del código. Esto incluye archivos que coinciden con el siguiente formato de nombre:

• device.ext, donde el atacante puede controlar ext, pero DEBE haber una extensión
• blah", donde el atacante puede controlar blah pero el nombre del archivo debe terminar con comillas dobles
• blah1";blah2=blah3, donde el atacante puede controlar blah1, blah2 y blah3, pero la secuencia de comillas dobles, punto y coma y el símbolo igual DEBEN estar presentes

En una prueba de concepto (PoC) hipotética ideada por Horizon3.ai, un adversario puede explotar el recorrido de ruta en el encabezado Content-Type para cargar un archivo crontab y obtener un shell inverso en el host del atacante.

Sin embargo, este método de ataque no funciona en sistemas Linux basados ​​en Debian/Ubuntu debido a restricciones de nombres de archivos que impiden que los archivos crontab tengan puntos o comillas dobles.

Un mecanismo alternativo implica aprovechar la instalación de Traccar como usuario de nivel root para eliminar un módulo del kernel o configurar una regla udev para ejecutar un comando arbitrario cada vez que se genere un evento de hardware.

En instancias susceptibles de Windows, la ejecución remota de código también se puede lograr colocando un archivo de acceso directo (LNK) llamado "device.lnk" en la carpeta C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp, que se ejecuta posteriormente cuando cualquier usuario víctima inicia sesión en el host Traccar.

Las versiones 5.1 a 5.12 de Traccar son vulnerables a CVE-2024-31214 y CVE-2024-2809. Los problemas se solucionaron con el lanzamiento de Traccar 6 en abril de 2024, que desactiva el registro automático de forma predeterminada, lo que reduce la superficie de ataque.

"Si la configuración de registro es verdadera, readOnly es falsa y deviceReadonly es falsa, entonces un atacante no autenticado puede explotar estas vulnerabilidades", dijo Sunkavally. "Estas son las configuraciones predeterminadas para Traccar 5".

Jesus_Caceres