MiCODUS MV720 GPS 追蹤器可攻擊數百萬輛汽車
MiCODUS MV720 GPS 追蹤器可攻擊數百萬輛汽車
MiCODUS MV720全球定位系統 (GPS) 跟蹤器中的多個缺陷 可讓黑客遠程入侵超過 150 萬輛汽車。
美國網絡安全和基礎設施安全局 (CISA) 發布公告,警告 超過 150 萬輛汽車使用的MiCODUS MV720全球定位系統 (GPS) 跟蹤器存在多個安全漏洞。
攻擊者可以利用這些漏洞遠程中斷受影響車輛的關鍵功能。
“CISA 發布了工業控制系統咨詢 (ICSA),詳細說明了 MiCODUS MV720 全球定位系統跟蹤器中發現的六個漏洞。成功利用這些漏洞可能允許遠程攻擊者利用訪問權限并獲得對全球定位系統跟蹤器的控制權。” 閱讀CISA 發布的咨詢。“這些漏洞可能會影響對車輛燃料供應的訪問、車輛控制,或允許對安裝了該設備的車輛進行位置監控。”
MiCODUS MV720 GPS 追蹤器是中國制造的流行車載 GPS 追蹤器,被消費者用于防盜和位置管理,以及被組織用于車隊管理。
這些漏洞是由 BitSight 研究人員發現的,它們被跟蹤為 CVE-2022-2107;CVE-2022-2141;CVE-2022-2199;CVE-2022-34150;和 CVE-2022-33944。
發現這些問題的 BitSight 研究人員報告說,威脅行為者可能會侵入跟蹤器,以切斷燃料、物理停止車輛或使用該設備跟蹤車輛的運動。
今天,MiCODUS 被多個行業的 420,000 名客戶使用,包括政府、軍事、執法機構和財富 1000 強公司。
研究人員在 2021 年 9 月發現的漏洞列表報告如下:
- CVE-2022-2107 (CVSS 評分:9.8)——使用硬編碼憑證可能允許攻擊者登錄 Web 服務器、冒充用戶并向 GPS 跟蹤器發送 SMS 命令,就好像它們來自 GPS 一樣車主的手機號碼。
- CVE-2022-2141 (CVSS 分數:9.8)——不正確的身份驗證允許用戶在沒有密碼的情況下向 GPS 跟蹤器發送一些 SMS 命令。
- CVE-2022-2199 (CVSS 分數:7.5)——一個跨站點腳本漏洞可能允許攻擊者通過欺騙用戶發出請求來獲得控制權。
- CVE-2022-34150 (CVSS 評分:7.1)——主 Web 服務器在參數“設備 ID”上存在經過身份驗證的不安全直接對象引用 (IDOR) 漏洞,該漏洞無需進一步驗證即可接受任意設備 ID。
- CVE-2022-33944 (CVSS 分數:6.5)——主 Web 服務器在 POST 參數“設備 ID”上存在經過身份驗證的 IDOR 漏洞,該漏洞接受任意設備 ID。
- 專家們發現了尚未收到 CVE (CVSS 分數:8.1)的第六個發行版——所有設備出廠時都預配置了默認密碼 123456,移動界面也是如此。沒有更改密碼的強制性規則,也沒有任何聲明過程。設置本身不需要更改密碼即可使用該設備。我們觀察到許多用戶從未更改過密碼。
在全球范圍內對行業使用情況的分析揭示了不同大陸在典型用戶檔案中的顯著差異。大多數使用有缺陷的 MiCODUS 設備的北美組織都在制造業,而南美的組織則是政府實體。歐洲的 MiCODUS 用戶屬于不同的行業,從金融到能源。
由于漏洞的嚴重性,BitSight 建議用戶立即停止使用或禁用任何 MiCODUS MV720 GPS 跟蹤器,至少在供應商解決問題之前。
“如果中國可以遠程控制美國的車輛,我們就有問題了,” 國際知名國家安全專家、前總統網絡安全顧問理查德克拉克說。“隨著移動設備采用的快速增長以及對我們社會更加緊密聯系的渴望,很容易忽視這樣一個事實,即這些 GPS 跟蹤設備如果沒有考慮到安全性,就會大大增加網絡風險。BitSight 的研究結果強調,當這些漏洞很容易被利用來影響我們的人身安全和國家安全,并導致大規模車隊管理中斷甚至生命損失等極端后果時,擁有安全的物聯網基礎設施就顯得尤為重要。”
研究人員強調了民族國家行為者可能利用上述漏洞收集有關在軍隊或其供應品中運作的實體的情報的風險。通過利用這些缺陷,可以揭示諸如補給路線、部隊調動和經常性巡邏等數據——
“盡管 GPS 追蹤器已經存在多年,但這些設備的簡化制造使任何人都可以使用它們。擁有一個集中的儀表板來監控 GPS 跟蹤器,能夠啟用或禁用車輛、監控速度、路線和利用其他功能,這對許多個人和組織都很有用。但是,此類功能可能會帶來嚴重的安全風險。不幸的是,MiCODUS MV720 缺乏保護用戶免受嚴重安全問題所需的基本安全保護。通過有限的測試,BitSight 發現了許多影響 GPS 跟蹤器生態系統所有組件的缺陷。” 結束報告. “BitSight 建議目前使用 MiCODUS MV720 GPS 跟蹤設備的個人和組織禁用這些設備,直到有可用的修復程序。使用任何 MiCODUS GPS 跟蹤器的組織,無論其型號如何,都應注意其系統架構的不安全性,這可能會使任何設備面臨風險。”
作者: 皮爾路易吉·帕格尼尼
