美国网络安全和基础设施安全局(CISA)警告称,在超过150万辆车上安装的 MiCODUS mv720全球定位系统(GPS)追踪器存在一些未修补的安全漏洞,可能导致关键操作的远程中断。
MiCODUS mv720
CISA表示: “成功利用这些漏洞,可能会让远程参与者利用全球定位系统跟踪器的访问和控制权。这些漏洞可能会影响对车辆燃料供应、车辆控制的访问,或允许对安装了该装置的车辆进行定位监控。”
CISA发表的声明
该公司的跟踪设备售价为20美元,由总部位于中国的 MiCODUS 公司制造,在航空航天、能源、工程、政府、制造业、核电站和航运部门的169个国家和地区的主要组织中使用。
用户最多的国家包括智利、澳大利亚、墨西哥、乌克兰、俄罗斯、摩洛哥、委内瑞拉、巴西、波兰、意大利、印度尼西亚、乌兹别克斯坦和南非。
这些问题是在 BitSight 的安全审计过程中发现的,鉴于军方和执法机构使用追踪器进行实时监控,这些问题也可能被滥用于在个人不知情的情况下追踪个人、使车辆失灵,甚至造成国家安全方面的影响。
BitSight 的研究人员指出: “一个可怕的黑客可能会利用追踪器的弱点来收集军事相关活动的情报,包括补给路线、定期部队调动和定期巡逻。”
2021年9月向 MiCODUS 披露的漏洞如下:
- CVE-2022-2107(CVSS 得分: 9.8)-使用一个硬编码的主密码,可以使未经身份验证的攻击者执行中间对手(AitM)攻击并控制跟踪器。
- CVE-2022-2141(CVSS 得分: 9.8)-API 服务器中的破解认证方案,使攻击者能够控制 GPS 跟踪器和原始服务器之间的所有流量并获得控制权。
- 没有指定的 CVE (CVSS 得分: 8.1)-使用预先配置的默认密码“123456”,允许攻击者随机访问任何 GPS 跟踪器。
- CVE-2022-2199(CVSS 得分: 7.5)-网络服务器上的一个反射跨网站脚本漏洞(XSS) ,可能导致在网络浏览器中执行任意的 JavaScript 代码。
- CVE-2022-34150(CVSS 得分: 7.1)-源自不安全直接对象引用(IDOR)的访问控制漏洞,可能导致敏感信息的暴露。
- CVE-2022-33944(CVSS 得分: 6.5)-一个经过身份验证的 IDOR 漏洞,可以利用它来生成关于设备活动的 Excel 报告。
简而言之,这些缺陷可以被武器化,以获得定位、路线、燃料切断指令以及解除警报等各种功能的能力。
但由于看不到任何解决办法,我们建议该 GPS 跟踪器的用户采取措施,尽量减少接触,或者停止使用这些设备,直到该公司提供解决方案。
研究人员说: “拥有一个集中的仪表板来监测 GPS 跟踪器,它能够启用或禁用车辆、监测速度、路线和利用其他功能,这对许多个人和组织都很有用。然而,这种功能会带来严重的安全风险。”
,