Horizon3.aiは8月23日(米国時間)、「Traccar 5 Remote Code Execution Vulnerabilities – Horizon3.ai」において、オープンソースのGPS追跡システム「Traccar」に緊急の脆弱性が存在すると報じた。これら脆弱性を悪用されると、認証されていない第三者に遠隔から管理者権限で任意のファイルを作成される可能性がある。
脆弱性の情報
脆弱性の情報は次のページにまとまっている。
- Unrestricted file upload vulnerability in device image upload could lead to remote code execution Advisory traccar/traccar GitHub
- Path Traversal: 'dir/../../filename' and Unrestricted Upload of File with Dangerous Type in traccar Advisory traccar/traccar GitHub
脆弱性の情報(CVE)は次のとおり。
- CVE-2024-31214 - ファイルの無制限アップロードの脆弱性。認証された攻撃者は制限されたファイル名にて任意のディレクトリに任意の内容のファイルをアップロードできる可能性がある
- CVE-2024-24809 - パストラバーサルの脆弱性。認証された攻撃者は任意のディレクトリに「device.」という接頭辞のファイル名にて任意の内容のファイルをアップロードできる可能性がある
脆弱性が存在する製品
脆弱性が存在するとされる製品およびバージョンは次のとおり。
- traccar 5.12およびこれ以前のバージョン
脆弱性が修正された製品
脆弱性が修正された製品およびバージョンは次のとおり。
- traccar 6.0
脆弱性の影響と対策
バージョン6.0より前のTraccarはデフォルトで登録が有効になっており、誰でもアカウントを作成することができる。そのため、攻撃者はデフォルト設定のTraccarに一般ユーザーアカウントを作成し、脆弱性を悪用して任意のコマンドを実行することができる。
しかしながら、脆弱性には以下の制限があり、ファイル名を自由に指定することはできない。
- 既存のファイルは上書きできない
- 任意の拡張子を持つ「device.」ファイルを作成できる
- ダブルクォーテーションで終わるファイル名を作成できる
- ダブルクォーテーション、セミコロン、等号記号を含むファイル名を作成できる
これら条件のうち最後の2つはWindowsのファイル名として使用できないため、Windows環境には影響しない。しかしながら、「device.lnk」ファイルを作成することで攻撃者は任意のコマンドをスタートアップに登録することができる。
これら脆弱性のうち最も深刻度の高いものは緊急(Critical)と評価されており注意が必要。Traccarを運用している管理者には速やかなアップデートが推奨されている。