暢銷全球的GPS車載追蹤器曝出“災難性”漏洞

近日，安全公司BitSight宣稱在中國產的GPS追蹤器Micodus MV720中發現了六個漏洞，MV720是一款暢銷全球的售價約20美元的GPS車載定位追蹤器。BitSight的安全研究人員認為，其他Micodus跟蹤器型號中也可能存在相同的嚴重漏洞。

根據BitSight的報道，Micodus聲稱其42萬名客戶共部署了150萬臺追蹤器，客戶包括政府、軍隊、執法機構以及航空航天、航運和制造公司。BitSight的調查發現來自全球169個國家/地區的有近240萬個連接指向MiCODUS API服務器（題圖）。

BitSight的報告發布后，美國關鍵基礎設施安全局（CISA）建議美國用戶在漏洞修復前立即停止使用這一流行的GPS車載定位跟蹤設備，理由是存在許多漏洞，黑客可以在汽車行駛時遠程禁用汽車，跟蹤位置歷史、解除警報和切斷燃料。

Micodus的技術架構

根據BitSight的調查報告，在Micodus設備中發現了六個“嚴重”漏洞，這些漏洞可導致大量攻擊。其中一個漏洞是使用未加密的HTTP通信，這使遠程黑客可以進行中間人攻擊，攔截或更改移動應用程序和支持服務器之間發送的請求。其他漏洞包括移動應用程序中存在缺陷的身份驗證機制，該機制允許攻擊者訪問用于鎖定跟蹤器的硬編碼密鑰，以及使用自定義IP地址的能力，使黑客可以監控和控制進出的所有設備通信。CISA給其中五個漏洞分配了以下CVE編號（API服務器默認密碼問題不被視為漏洞，未獲得CVE編號）：

• CVE-2022-2107硬編碼密碼（API服務器）CVSS3.1評分：9.8
• CVE-2022-2141認證損壞（API服務器/GPS跟蹤器協議）CVSS3.1評分：9.8
• CVE-2022-2199反射跨站腳本（Web服務器）CVSS3.1評分：7.5
• CVE-2022-34150不安全的直接對象引用CVSS3.1評分：7.1
• CVE-2022-33944不安全的直接對象引用（web服務器）CVSS3.1評分：6.5

這六個漏洞中尤為值得關注的是編號CVE-2022-2107的漏洞，這是一種硬編碼密碼漏洞，其嚴重性等級為9.8（滿分為10級）。Micodus跟蹤器將其用作默認主密碼，根據BitSight的測試，1000臺設備樣本中有95%在使用未更改的默認密碼來訪問。獲得此密碼的黑客可以使用它登錄網絡服務器，冒充合法用戶，并通過看似來自GPS用戶手機號碼的SMS通信向跟蹤器發送命令。通過這種控制，黑客可以：

• 完全控制任何GPS跟蹤器
• 實時訪問位置信息、路線、地理圍欄和跟蹤位置
• 切斷車輛燃料
• 解除警報和其他功能

更糟糕的是，硬編碼密碼可能意味著唯一有效的補救策略是移除MV720設備或從設備中移除SIM卡。

另一個漏洞CVE-2022-2141可導致Micodus服務器和GPS跟蹤器用于通信的協議中的身份驗證狀態損壞。

其他三個漏洞分別是：Web服務器反射跨站點腳本錯誤（CVE-2022-2199）以及不安全的直接對象引用（CVE-2022-34150、CVE-2022-33944）。

“利用這些漏洞可能會產生災難性甚至危及生命的影響，”BitSight研究人員寫道。“例如，攻擊者可以利用一些漏洞為整個商用或應急車輛車隊減少燃料。或者，攻擊者可以利用GPS信息來監控和甚至突然停止在高速公路上行駛的車輛來制造危險。攻擊者還可以選擇秘密跟蹤個人或要求支付贖金以使車輛恢復工作狀態。有許多可能的攻擊方式都能導致生命損失、財產損失、隱私侵犯和威脅國家安全。”

BitSight報告指出，存在漏洞的追蹤設備有兩個廣泛的用例。在一些國家，數據表明這些設備用于管理車隊。然而，在其他國家，大量的個人連接表明個人正在使用這些設備進行防盜應用。

“印度尼西亞有許多與MiCODUS服務器通信的唯一IP地址，但主要在GPS跟蹤器端口中，”BitSight在報告中指出：“這可能表明有少量用戶擁有大量設備，這在車隊管理場景中很典型。相比之下，墨西哥與網絡和移動端口的連接數量非常多，這可能意味著個人正在使用GPS追蹤器作為防盜設備。”

BitSight估計，墨西哥、俄羅斯和烏茲別克斯坦是個人用戶最多的國家。俄羅斯、摩洛哥和智利似乎擁有最多的實際設備。

BitSight表示，它于9月首次聯系Micodus，將這些漏洞通知公司官員。BitSight和CISA在嘗試與制造商私下接觸數月后，終于在周二公布了調查結果。截至撰寫本文時，所有漏洞仍未修補和緩解。

研究人員寫道：“BitSight建議目前使用MiCODUS MV720 GPS跟蹤設備的個人和組織禁用這些設備，直到有可用的修復程序。”“使用任何MiCODUS GPS跟蹤器的組織，無論型號如何，都應注意其系統架構的不安全性，這可能會使任何設備面臨風險。”

BitSight對物聯網設備的漏洞修復速度感到悲觀，該公司在報告中指出：如果你認為修補常規軟件很困難，那么修補IoT設備的難度是它的十倍。“（即便漏洞補丁發布），仍然可能有90%的易受攻擊的GPS跟蹤設備將仍然保持脆弱并可被利用。”

報告鏈接：

https://www.bitsight.com/sites/default/files/2022-07/MiCODUS-GPS-Report-Final.pdf

文章來源：GoUpSec