漏洞是我们比较熟悉的一种网络攻击,漏洞的出现是无法避免的,随着网络的发展,漏洞也会消失和产生新的漏洞。而这些漏洞一旦被网络攻击者发现,那么就会通过漏洞来对用户进行攻击,所以需要经常打补丁,想要避免被网络攻击者利用漏洞来进行攻击我们,我们就要及时的对软件进行更新,保障软件处于最新版本的状态下。

GPS漏洞事件

最近,就有网络安全研究员发现了GPS存在漏洞,GPS追踪器出现漏洞的设备就是MiCODUS MV720,调查后可以发现MV720设备中的漏洞有6个,这些漏洞可以被网络攻击者利用来获取设备的路线信息,甚至可以通过这些漏洞来追踪设备的车辆,需要重视的是,还可以被网络攻击者进行操控。据了解,使用该追踪器的用户覆盖了169个国家,这些国家中约有150辆车会被该漏洞所影响。并且这个追踪器还被很多的企业、军事机构以及核电站运营商所使用,如果被网络攻击者利用漏洞并发起攻击的话,很有可能会影响到国家的安全。

这6个漏洞的一些具体细节分析如下:

CVE-2022-2141(漏洞评分:9.8):破解的认证方案,可以让所有人通过短信向GPS追踪器发送一些命令,并以管理员权限运行。

CVE-2022-2107(漏洞评分:9.8):API服务器上的硬编码主密码,允许未经认证的远程攻击者获得对任何MV720追踪器的完全控制。

CVE-2022-33944(漏洞评分:6.5):主网络服务器上不安全的直接对象引用,可以让未经认证的用户生成关于GPS跟踪器活动的Excel报告。

CVE-2022-34150(漏洞评分:7.1):主网络服务器上不安全的直接对象引用,允许登录的用户访问服务器数据库中所有设备ID的数据。

CVE-2022-2199(漏洞评分:7.5):反映在主网络服务器上的跨站脚本(XSS),可以让攻击者访问用户账户,与应用程序互动,还可以查看该用户可访问的所有信息。

没有指定的CVE(漏洞评分:8.1):MV720追踪器上的默认密码都是比较弱的,并且不强制用户在初始设备设置后进行更改。

目前,这些漏洞还没有具体的修复方案,BitSight建议使用了这些追踪器的用户,对该追踪器进行禁用。在日常生活中,我们需要养成更新的好习惯,对于我们而言,及时的更新至最新版本,就是应对网络攻击最好的方法。此外,我们在使用一些软件的时候,还可以下载一些杀毒软件,用来预防一些网络攻击。

来源:HK酋长

原文链接:https://www.hake.cc/page/article/4368.html

信息安全 网络安全 gps追踪器 漏洞
撤稿纠错
本作品采用《CC 协议》,转载必须注明作者和本文链接