26 de agosto de 2024Ravie LakshmananSeguridad de software/VulnerabilidadSe han revelado dos vulnerabilidades de seguridad en el sistema de seguimiento GPS de código abierto Traccar que podrían ser explotadas por atacantes no autenticados para lograr la ejecución remota de código en determinadas circunstancias. Ambas vulnerabilidades son fallas de recorrido de ruta y podrían usarse como arma si se habilita el registro de invitados, que es la configuración predeterminada para Traccar 5, dijo el investigador de Horizon3.ai Naveen Sunkavally. Una breve descripción de las deficiencias es la siguiente: CVE-2024-24809 (puntuación CVSS: 8,5) – Recorrido de ruta: ‘dir/../../filename’ y carga sin restricciones de archivo con tipo peligroso CVE-2024-31214 (puntuación CVSS: 9,7) – La vulnerabilidad de carga de archivos sin restricciones en la carga de imágenes del dispositivo podría provocar la ejecución remota de código «El resultado neto de CVE-2024-31214 y CVE-2024-24809 es que un atacante puede colocar archivos con contenido arbitrario en cualquier parte del sistema de archivos», dijo Sunkavally. «Sin embargo, un atacante solo tiene control parcial sobre el nombre del archivo». Los problemas tienen que ver con la forma en que el programa maneja las cargas de archivos de imágenes del dispositivo, lo que permite efectivamente que un atacante sobrescriba ciertos archivos en el sistema de archivos y active la ejecución del código. Esto incluye archivos que coinciden con el siguiente formato de nombre: device.ext, donde el atacante puede controlar ext, pero DEBE haber una extensión blah», donde el atacante puede controlar blah pero el nombre de archivo debe terminar con una comilla doble blah1″;blah2=blah3, donde el atacante puede controlar blah1, blah2 y blah3, pero la secuencia de comillas dobles punto y coma y el símbolo igual DEBEN estar presentes. En una prueba de concepto (PoC) hipotética ideada por Horizon3.ai, un adversario puede explotar el recorrido de ruta en el encabezado Content-Type para cargar un archivo crontab y obtener un shell inverso en el host del atacante. Sin embargo, este método de ataque no funciona en sistemas Linux basados ​​en Debian/Ubuntu debido a restricciones de nombres de archivos que prohíben que los archivos crontab tengan puntos o comillas dobles. Un mecanismo alternativo implica aprovechar la instalación de Traccar como usuario de nivel raíz para descartar un módulo del kernel o configurar una regla udev para ejecutar un comando arbitrario cada vez que se genera un evento de hardware. En instancias de Windows susceptibles, la ejecución remota de código también se podría lograr colocando un archivo de acceso directo (LNK) llamado «device.lnk» en la carpeta C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp, que se ejecuta posteriormente cuando cualquier usuario víctima inicia sesión en el host de Traccar. Las versiones de Traccar 5.1 a 5.12 son vulnerables a CVE-2024-31214 y CVE-2024-2809. Los problemas se han solucionado con el lanzamiento de Traccar 6 en abril de 2024, que desactiva el autorregistro de forma predeterminada, lo que reduce la superficie de ataque. «Si la configuración de registro es verdadera, readOnly es falsa y deviceReadonly es falsa, entonces un atacante no autenticado puede explotar estas vulnerabilidades», dijo Sunkavally. «Estas son las configuraciones predeterminadas para Traccar 5». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.