MiCODUS MV720 GPS 追踪器可攻击数百万辆汽车
MiCODUS MV720 GPS 追踪器可攻击数百万辆汽车
MiCODUS MV720全球定位系统 (GPS) 跟踪器中的多个缺陷 可让黑客远程入侵超过 150 万辆汽车。
美国网络安全和基础设施安全局 (CISA) 发布公告,警告 超过 150 万辆汽车使用的MiCODUS MV720全球定位系统 (GPS) 跟踪器存在多个安全漏洞。
攻击者可以利用这些漏洞远程中断受影响车辆的关键功能。
“CISA 发布了工业控制系统咨询 (ICSA),详细说明了 MiCODUS MV720 全球定位系统跟踪器中发现的六个漏洞。成功利用这些漏洞可能允许远程攻击者利用访问权限并获得对全球定位系统跟踪器的控制权。” 阅读CISA 发布的咨询。“这些漏洞可能会影响对车辆燃料供应的访问、车辆控制,或允许对安装了该设备的车辆进行位置监控。”
MiCODUS MV720 GPS 追踪器是中国制造的流行车载 GPS 追踪器,被消费者用于防盗和位置管理,以及被组织用于车队管理。
这些漏洞是由 BitSight 研究人员发现的,它们被跟踪为 CVE-2022-2107;CVE-2022-2141;CVE-2022-2199;CVE-2022-34150;和 CVE-2022-33944。
发现这些问题的 BitSight 研究人员报告说,威胁行为者可能会侵入跟踪器,以切断燃料、物理停止车辆或使用该设备跟踪车辆的运动。
今天,MiCODUS 被多个行业的 420,000 名客户使用,包括政府、军事、执法机构和财富 1000 强公司。
研究人员在 2021 年 9 月发现的漏洞列表报告如下:
- CVE-2022-2107 (CVSS 评分:9.8)——使用硬编码凭证可能允许攻击者登录 Web 服务器、冒充用户并向 GPS 跟踪器发送 SMS 命令,就好像它们来自 GPS 一样车主的手机号码。
- CVE-2022-2141 (CVSS 分数:9.8)——不正确的身份验证允许用户在没有密码的情况下向 GPS 跟踪器发送一些 SMS 命令。
- CVE-2022-2199 (CVSS 分数:7.5)——一个跨站点脚本漏洞可能允许攻击者通过欺骗用户发出请求来获得控制权。
- CVE-2022-34150 (CVSS 评分:7.1)——主 Web 服务器在参数“设备 ID”上存在经过身份验证的不安全直接对象引用 (IDOR) 漏洞,该漏洞无需进一步验证即可接受任意设备 ID。
- CVE-2022-33944 (CVSS 分数:6.5)——主 Web 服务器在 POST 参数“设备 ID”上存在经过身份验证的 IDOR 漏洞,该漏洞接受任意设备 ID。
- 专家们发现了尚未收到 CVE (CVSS 分数:8.1)的第六个发行版——所有设备出厂时都预配置了默认密码 123456,移动界面也是如此。没有更改密码的强制性规则,也没有任何声明过程。设置本身不需要更改密码即可使用该设备。我们观察到许多用户从未更改过密码。
在全球范围内对行业使用情况的分析揭示了不同大陆在典型用户档案中的显着差异。大多数使用有缺陷的 MiCODUS 设备的北美组织都在制造业,而南美的组织则是政府实体。欧洲的 MiCODUS 用户属于不同的行业,从金融到能源。
由于漏洞的严重性,BitSight 建议用户立即停止使用或禁用任何 MiCODUS MV720 GPS 跟踪器,至少在供应商解决问题之前。
“如果中国可以远程控制美国的车辆,我们就有问题了,” 国际知名国家安全专家、前总统网络安全顾问理查德克拉克说。“随着移动设备采用的快速增长以及对我们社会更加紧密联系的渴望,很容易忽视这样一个事实,即这些 GPS 跟踪设备如果没有考虑到安全性,就会大大增加网络风险。BitSight 的研究结果强调,当这些漏洞很容易被利用来影响我们的人身安全和国家安全,并导致大规模车队管理中断甚至生命损失等极端后果时,拥有安全的物联网基础设施就显得尤为重要。”
研究人员强调了民族国家行为者可能利用上述漏洞收集有关在军队或其供应品中运作的实体的情报的风险。通过利用这些缺陷,可以揭示诸如补给路线、部队调动和经常性巡逻等数据——
“尽管 GPS 追踪器已经存在多年,但这些设备的简化制造使任何人都可以使用它们。拥有一个集中的仪表板来监控 GPS 跟踪器,能够启用或禁用车辆、监控速度、路线和利用其他功能,这对许多个人和组织都很有用。但是,此类功能可能会带来严重的安全风险。不幸的是,MiCODUS MV720 缺乏保护用户免受严重安全问题所需的基本安全保护。通过有限的测试,BitSight 发现了许多影响 GPS 跟踪器生态系统所有组件的缺陷。” 结束报告. “BitSight 建议目前使用 MiCODUS MV720 GPS 跟踪设备的个人和组织禁用这些设备,直到有可用的修复程序。使用任何 MiCODUS GPS 跟踪器的组织,无论其型号如何,都应注意其系统架构的不安全性,这可能会使任何设备面临风险。”
作者: 皮尔路易吉·帕格尼尼
