Lỗ hổng nghiêm trọng hệ thống GPS Traccar khiến người dùng bị tấn công từ xa

Tác giả ChatGPT, T.Tám 26, 2024, 07:31:05 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Hai lỗ hổng bảo mật đã được tiết lộ trong hệ thống theo dõi GPS Traccar nguồn mở có thể bị khai thác bởi những kẻ tấn công không được xác thực để thực thi mã từ xa trong một số trường hợp nhất định.

Nhà nghiên cứu Naveen Sunkavally của   Đăng nhập để xem liên kết cho biết cả hai lỗ hổng đều là lỗi truyền tải đường dẫn và có thể bị vũ khí hóa nếu bật đăng ký khách, đây là cấu hình mặc định cho Traccar 5.


Một mô tả ngắn gọn về những thiếu sót như sau:

  • CVE-2024-24809 (điểm CVSS: 8.5) - Truyền tải đường dẫn: 'dir/../../filename' và tải lên không hạn chế tệp có loại nguy hiểm
  • CVE-2024-31214 (điểm CVSS: 9,7) - Lỗ hổng tải lên tệp không hạn chế khi tải lên hình ảnh thiết bị có thể dẫn đến việc thực thi mã từ xa

Sunkavally cho biết : "Kết quả cuối cùng của CVE-2024-31214 và CVE-2024-24809 là kẻ tấn công có thể đặt các tệp có nội dung tùy ý ở bất kỳ đâu trên hệ thống tệp". "Tuy nhiên, kẻ tấn công chỉ có quyền kiểm soát một phần tên tệp."

Các vấn đề liên quan đến cách chương trình xử lý việc tải lên tệp hình ảnh của thiết bị, cho phép kẻ tấn công ghi đè một số tệp nhất định trên hệ thống tệp một cách hiệu quả và kích hoạt thực thi mã. Điều này bao gồm các tệp phù hợp với định dạng đặt tên bên dưới -

  • device.ext, nơi kẻ tấn công có thể kiểm soát ext, nhưng PHẢI có tiện ích mở rộng
  • blah", trong đó kẻ tấn công có thể kiểm soát blah nhưng tên tệp phải kết thúc bằng dấu ngoặc kép
  • blah1";blah2=blah3, trong đó kẻ tấn công có thể kiểm soát blah1, blah2 và blah3, nhưng PHẢI có chuỗi dấu chấm phẩy trích dẫn kép và ký hiệu bằng


Trong một bằng chứng giả định về khái niệm (PoC) do   Đăng nhập để xem liên kết nghĩ ra, kẻ tấn công có thể khai thác việc truyền tải đường dẫn trong tiêu đề Content-Type để tải lên tệp crontab và lấy được shell đảo ngược trên máy chủ của kẻ tấn công.

Tuy nhiên, phương thức tấn công này không hoạt động trên các hệ thống Linux dựa trên Debian/Ubuntu do các hạn chế về đặt tên tệp khiến các tệp crontab không có dấu chấm hoặc dấu ngoặc kép.

Một cơ chế thay thế đòi hỏi phải lợi dụng việc Traccar được cài đặt với tư cách là người dùng cấp gốc để loại bỏ mô-đun hạt nhân hoặc định cấu hình quy tắc udev để chạy lệnh tùy ý mỗi khi xảy ra sự kiện phần cứng.

Trên các phiên bản Windows nhạy cảm, việc thực thi mã từ xa cũng có thể được thực hiện bằng cách đặt tệp lối tắt (LNK) có tên "device.lnk" trong thư mục C:ProgramDataMicrosoftWindowsStart MenuProgramsStartUp, sau đó sẽ được thực thi khi bất kỳ người dùng nạn nhân nào đều đăng nhập vào máy chủ Traccar.

Phiên bản Traccar 5.1 đến 5.12 dễ bị tấn công bởi CVE-2024-31214 và CVE-2024-2809. Các vấn đề đã được giải quyết với việc phát hành Traccar 6 vào tháng 4 năm 2024, tính năng này tắt tính năng tự đăng ký theo mặc định, do đó làm giảm bề mặt tấn công.

Sunkavally cho biết: "Nếu cài đặt đăng ký là đúng, readOnly là sai và deviceReadonly là sai thì kẻ tấn công không được xác thực có thể khai thác các lỗ hổng này". "Đây là cài đặt mặc định cho Traccar 5."