國產MiCODUS GPS車載定位器多安全漏洞,影響全球150萬車輛
國產MiCODUS GPS MV720定位器多安全漏洞,可獲取管理員權限,影響全球150萬車輛。
MiCODUS是廣東深圳MiCODUS電子公司生產的一款廉價的車載定位器,售價僅20美元,具有可靠的基于蜂窩的定位追蹤功能,是一款非常流行的車載定位器。
BitSight研究人員在一款MiCODUS 車載GPS追蹤器——MV720中發現了多個安全漏洞,影響全球169個國家的150萬車輛,涉及財富50強公司、歐洲政府、美國州、南美軍事機構、核電站操作人員。
MiCODUS MV720用戶分布
漏洞細節
研究人員在MiCODUS MV720車載定位器中共發現了6個安全漏洞,分別是:
CVE-2022-2107: API服務器上硬編碼master口令,CVSS評分9.8分,非認證的遠程攻擊者可以獲取MV720定位器的完全控制權限,執行追蹤用戶、切斷燃油供應等操作。
圖 有漏洞的API
CVE-2022-2141: 認證方案安全漏洞,CVSS 評分9.8分,任意用戶通過SMS發送命令給GPS追蹤器,并可以以管理員權限運行命令。
圖 支持的管理員SMS命令
弱口令(未分配CVE編號):所有MV720定位器的默認密碼都是123456,且沒有強制規則要求用戶在設備初始化后修改密碼。
CVE-2022-2199: 主web服務器反射XSS漏洞,CVSS評分7.5分,攻擊者利用該漏洞可以訪問用戶賬戶,與APP進行交互,查看用戶所有信息。
CVE-2022-34150:主web服務器上不安全的直接對象引用,CVSS評分7.1分,允許登錄用戶訪問服務器數據庫的任意數據
CVE-2022-33944: 主web服務器上不安全的直接對象引用,CVSS評分6.5分,未認證的用戶可以生成關于GPS定位器活動的Excel報告。
圖 訪問用戶位置和移動信息
BitSight 研究人員發布了5個漏洞的PoC代碼,證明漏洞可以被利用。
漏洞修復情況
研究人員早在2021年9月9日發現了該安全漏洞,并與MiCODUS聯系,但未找到接收安全報告的人。2022年1月14日,BitSight將該漏洞技術細節分享給了美國國土安全局。
截止目前,仍然沒有發布補丁,MiCODUS MV720 GPS定位器仍然受到以上安全漏洞的影響。研究人員建議用戶禁用該設備,以免受潛在的安全威脅。
參考及來源:
https://www.bleepingcomputer.com/news/security/popular-vehicle-gps-tracker-gives-hackers-admin-privileges-over-sms/
