Взлом GPS-трекинга Tracca: от слежки до полного контроля

В популярной системе GPS-трекинга Traccar, используемой как для личного, так и корпоративного применения, обнаружены две критические уязвимости, которые могут привести к удалённому выполнению кода. Уязвимости, обозначенные как CVE-2024-31214 и CVE-2024-24809, позволяют неавторизованным злоумышленникам выполнять атаки, если включена функция регистрации гостей, которая по умолчанию активирована в версии Traccar 5.

Traccar, приложение на основе Java, использует сервер Jetty для обработки запросов. В версии Traccar 5.1 была добавлена функция загрузки изображений для устройств, которая и стала причиной уязвимости. Обе проблемы связаны с обработкой загрузки изображений устройств, где злоумышленники могут манипулировать именем файла и расширением, используя технику обхода каталогов (Path Traversal). Это позволяет размещать файлы в произвольных местах на файловой системе, что в конечном итоге может привести к выполнению вредоносного кода на сервере.

Одним из возможных сценариев атаки является загрузка crontab-файла на серверы, работающие на базе Linux, что позволит злоумышленнику получить обратную оболочку (Reverse Shell). Другие методы включают загрузку вредоносного модуля ядра или создание вредоносных правил udev, которые также приводят к удалённому выполнению кода при перезагрузке или входе пользователя в систему.

На Windows-системах уязвимость может быть использована для размещения вредоносного ярлыка в папке автозагрузки, что приводит к выполнению команды при каждом входе в систему.

Проблема была обнаружена исследователями из Horizon3, которые сразу сообщили об уязвимостях разработчикам. В Traccar 6 эти уязвимости были исправлены, а функция регистрации гостей была отключена по умолчанию, что значительно улучшило безопасность системы.

Для защиты своих систем пользователям рекомендуется как можно скорее обновиться до Traccar 6 или отключить функцию регистрации гостей. Кроме того, если сервер уже был скомпрометирован, необходимо быть осторожным при перезагрузке системы, так как это может активировать заложенные вредоносные программы.

На момент обнаружения уязвимостей около 1400 серверов Traccar версии 5 были открыты в сети с уязвимыми настройками по умолчанию. Пользователям рекомендуется проверить свои системы и принять необходимые меры для предотвращения возможных атак.