据 CISA称,MiCODUS GPS 跟踪器设备中存在一些漏洞,其中包括一些关键漏洞,可能使网络犯罪分子能够扰乱车辆运营并监视路线,甚至远程控制或切断车辆的燃料。并且这些安全漏洞无法修复。
其中两个缺陷被评为9.8 分(满分 10 分)的 CVSS 严重性等级。它们可以被利用,向跟踪设备发送命令,在没有任何有意义的身份验证的情况下执行;其他的则涉及到一定程度的远程开发。
“成功利用这些漏洞可能允许攻击者控制任何 MV720 GPS 跟踪器,授予访问位置、路线、燃料切断命令以及解除各种功能(例如警报)的权限,”美国政府机构在发布的一份咨询中警告说。
CISA 补充称,目前制造商尚未提供任何更新或补丁来修复这些漏洞。该机构还建议车辆所有者和运营商采取“防御措施”将风险降至最低。
BitSight周二发布的一份报告称:“在合理地用尽所有可能的方法与MiCODUS取得联系后,BitSight和CISA决定,这些漏洞有必要公开披露。”
研究人员说,大约有150万消费者和组织使用GPS追踪器。他们补充说,这涉及169个国家,包括政府机构、军事、执法、航空航天、能源、工程、制造和航运公司。
该报告的作者称:“对这些漏洞的利用可能会产生灾难性的、甚至危及生命的影响。”
例如,攻击者可以利用一些漏洞来减少整个商用或紧急车辆车队的燃料。或者,攻击者可以利用GPS信息监控并突然阻止危险公路上的车辆。攻击者可以选择暗中跟踪个人,或要求支付赎金,以使损坏的车辆恢复工作状态。有许多可能导致生命损失、财产损害、隐私侵犯和威胁国家安全的场景。
BitSight团队在研究中使用了MV720模型,他们说这是该公司最便宜的具有燃料切断功能的设计。该设备是一种启用手机的跟踪器,使用SIM卡向支持服务器发送状态和位置更新,并接收短信命令。
以下是漏洞的概要:
CVE-2022-2107是 MiCODUS API 服务器中的硬编码密码漏洞。它获得了 9.8 的 CVSS 分数,并允许远程攻击者使用硬编码的主密码登录 Web 服务器并将 SMS 命令发送到目标的 GPS 跟踪器。
这些信息看起来像是来自GPS用户的手机号码,可以让不法分子控制任何跟踪器,实时访问和跟踪车辆位置,切断燃料,解除警报或其他由这个小工具提供的功能。
CVE-2022-2141由于身份验证失败,也获得了9.8分的CVSS。这个缺陷可以让攻击者在没有身份验证的情况下向跟踪设备发送短信命令。
根据安全供应商的说法,BitSight 的报告中详细说明了一个默认密码漏洞,但 CISA 没有为其分配 CVE,但它仍然“代表一个严重的漏洞”。没有强制规定用户更改设备上的默认密码,默认密码为“123456”,这使得犯罪分子很容易猜测或假设跟踪器的密码。
CVE-2022-2199是一个跨站点脚本漏洞,存在于主 Web 服务器中,攻击者可以通过诱骗用户发出请求来完全破坏设备 - 例如,通过在电子邮件中发送恶意链接,推文或其他消息。CVSS评分为7.5 。
主web服务器在端点和参数设备id上存在一个不安全的直接对象引用漏洞,被跟踪为CVE-2022-34150。这意味着它们无需进一步验证就可以接受任意的设备id。
在这种情况下,无论登录的用户是谁,都可以从服务器数据库中的任何设备ID访问数据。此外,还可以获取更多的信息,如车牌号码、SIM卡号码、手机号码等,使攻击升级。”它获得了7.1 CVSS评级。
最后,CVE-2022-33944是主 Web 服务器上的另一个不安全的直接对象引用漏洞。该漏洞在端点和 POST 参数“设备 ID”上接受任意设备 ID,严重性评分为 6.5。
报告总结道:“BitSight建议目前使用MiCODUS MV720 GPS跟踪设备的个人和组织禁用这些设备,直到找到修复措施。”“使用任何MiCODUS GPS追踪器的机构,无论其型号如何,都应该警惕其系统架构的不安全性,这可能会使任何设备处于危险之中。”
文章来源:
