GPS跟踪器中的零日缺陷对车辆构成监视和燃料切断风险

安全研究人员警告说,在流行的汽车GPS跟踪设备中发现的大量零日漏洞“可能会造成灾难性甚至危及生命的影响”。BitSight研究员Pedro Umbelino发现的六个尚未修补的漏洞影响了由中国公司MiCODUS开发的MV720 GPS跟踪器的API服务器、GPS跟踪器协议和Web服务器。成功滥用这些漏洞可能会导致攻击者“为整个商业或紧急车辆车队加油”,使用GPS数据“监控并突然停止危险高速公路上的车辆”,或“跟踪个人或要求支付赎金以将残疾车辆送回工作条件”,根据BitSight的研究。

据这家网络安全公司称,MiCODUS MV720为至少169个国家/地区的客户提供防盗保护和车队管理功能,包括财富50强能源公司、南美的国家军队、西欧的联邦政府、国家执法部门西欧机构和核电站运营商。

令人担忧的是,BitSight表示Umbelino还发现了与该公司基于云的Web、iOS和Android设备管理界面相关的安全问题,这一发现意味着其他MiCODUS GPS跟踪模型也可能不安全。如果MiCODUS自己的数据是准确的,那么这相当于全球150万台潜在易受攻击的设备。

由于尚未出现安全补丁,BitSight已敦促用户“立即停止使用或禁用任何MiCODUS MV720 GPS跟踪器,直到有可用的修复程序”。

美国网络安全和基础设施安全局(CISA)的安全咨询表示,“没有已知的公开漏洞专门针对MV720 GPS跟踪器中的这些漏洞”。

API服务器中的两个关键身份验证问题(CVSS得分均为9.8)使“攻击者能够直接向GPS跟踪器发送SMS命令,就好像它们来自GPS所有者的手机号码一样”。

一个错误与硬编码的主密码(CVE-2022-2107)相关,另一个错误是由于身份验证不当(CVE-2022-2141)导致的,可能会导致中间操纵者(MitM)攻击。

设备和移动界面预配置了默认密码“123456”,BitSight将其归类为高严重性(CVSS 8.1)问题,尽管CISA拒绝分配CVE。据BitSight称,“没有强制规则更改密码,也没有任何声明过程”,它发现1000个响应设备ID中的94.5%仍然具有默认密码。

由于设备ID易于预测,并且服务器似乎缺乏密码暴力破解措施(例如速率限制),攻击者可以轻松访问随机GPS跟踪器。

同时,一个影响主Web服务器的高严重性(CVSS 7.5)反映的跨站点脚本(XSS)漏洞可能使攻击者能够“完全破坏设备”。

主Web服务器还包含一对经过身份验证的不安全直接对象引用漏洞,跟踪为CVE-2022-34150(CVSS 7.1)和CVE-2022-33944(CVSS 6.5)。

BitSight建议说:“拥有一个集中式仪表板来监控GPS跟踪器,并能够启用或禁用车辆、监控速度、路线和利用其他功能”具有潜在的危险性,因为它很有用。

“不幸的是,MiCODUS MV720缺乏基本的安全保护”,并且仅通过“有限的测试,BitSight发现了影响GPS跟踪器生态系统所有组件的众多缺陷”。

BitSight表示,它于2021年9月9日首次向供应商披露了这些缺陷,在最初做出回应后,MiCODUS未能回复来自BitSight 和CISA的多个后续更新请求。BitSight(7月19日)发布了调查结果。

发表评论

评论已关闭。

相关文章