عيوب خطيرة في نظام Traccar GPS تعرض المستخدمين للهجمات عن بعد
تم الكشف عن ثغرتين أمنيتين في المصدر المفتوح تراكار نظام تتبع نظام تحديد المواقع العالمي (GPS) الذي يمكن استغلاله من قبل مهاجمين غير مصادقين لتنفيذ التعليمات البرمجية عن بعد في ظل ظروف معينة.
قال Naveen Sunkavally، الباحث في Horizon3.ai، إن كلا الثغرات الأمنية عبارة عن عيوب في اجتياز المسار ويمكن استغلالها كسلاح إذا تم تمكين تسجيل الضيف، وهو التكوين الافتراضي لـ Traccar 5.
وصف موجز لأوجه القصور هو كما يلي –
- CVE-2024-24809 (درجة CVSS: 8.5) – اجتياز المسار: “dir/../../filename” والتحميل غير المقيد للملفات ذات النوع الخطير
- CVE-2024-31214 (درجة CVSS: 9.7) – قد تؤدي ثغرة أمنية في تحميل الملفات غير المقيدة في تحميل صورة الجهاز إلى تنفيذ تعليمات برمجية عن بُعد
“النتيجة النهائية لـ CVE-2024-31214 وCVE-2024-24809 هي أن المهاجم يمكنه وضع ملفات ذات محتوى عشوائي في أي مكان على نظام الملفات،” Sunkavally قال. “ومع ذلك، يتمتع المهاجم بسيطرة جزئية فقط على اسم الملف.”
تتعلق المشكلات بكيفية تعامل البرنامج مع تحميلات ملفات صور الجهاز، مما يسمح للمهاجم بشكل فعال بالكتابة فوق ملفات معينة على نظام الملفات وتنفيذ التعليمات البرمجية. يتضمن ذلك الملفات المطابقة لتنسيق التسمية أدناه –
- Device.ext، حيث يمكن للمهاجم التحكم في التحويلة، ولكن يجب أن يكون هناك امتداد
- blah”، حيث يمكن للمهاجم التحكم في blah ولكن يجب أن ينتهي اسم الملف بعلامة اقتباس مزدوجة
- blah1″;blah2=blah3، حيث يمكن للمهاجم التحكم في blah1 وblah2 وblah3، ولكن يجب أن يكون تسلسل الفاصلة المنقوطة والاقتباس المزدوج ورمز يساوي موجودًا
في إثبات المفهوم الافتراضي (PoC) الذي ابتكرته Horizon3.ai، يمكن للخصم استغلال اجتياز المسار في رأس Content-Type لتحميل ملف crontab والحصول على غلاف عكسي على مضيف المهاجم.
ومع ذلك، لا تعمل طريقة الهجوم هذه على أنظمة Linux المستندة إلى Debian/Ubuntu بسبب قيود تسمية الملفات التي تمنع ملفات crontab من وجود نقاط أو علامات اقتباس مزدوجة.
تتضمن الآلية البديلة الاستفادة من تثبيت Traccar كمستخدم على مستوى الجذر لإسقاط وحدة kernel أو تكوين قاعدة udev لتشغيل أمر عشوائي في كل مرة يتم فيها رفع حدث جهاز.
في مثيلات Windows الحساسة، يمكن أيضًا تنفيذ التعليمات البرمجية عن بعد عن طريق وضع ملف اختصار (LNK) يسمى “device.lnk” في المجلد C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp، والذي يتم تنفيذه لاحقًا عندما يقوم أي مستخدم ضحية بتسجيل الدخول إلى مضيف Traccar.
إصدارات Traccar من 5.1 إلى 5.12 معرضة لـ CVE-2024-31214 وCVE-2024-2809. تمت معالجة المشكلات من خلال إصدار Traccar 6 في أبريل 2024 والذي يقوم بإيقاف التسجيل الذاتي افتراضيًا، وبالتالي تقليل سطح الهجوم.
وقال سانكافالي: “إذا كان إعداد التسجيل صحيحًا، وقراءة فقط خاطئة، وجهاز قراءة فقط خطأ، فيمكن لمهاجم غير مصادق عليه استغلال هذه الثغرات الأمنية”. “هذه هي الإعدادات الافتراضية لبرنامج Traccar 5.”
إرسال التعليق