中国供应商的更广泛的建筑故障可能使150万个设备处于危险之中
一小筏零日安全研究人员警告说,在流行的汽车GPS跟踪设备中发现的缺陷“可能具有灾难性甚至威胁生命的影响”。
BITSIGHT研究员Pedro Umbelino发现了六个尚未匹配的漏洞影响API服务器,GPS Tracker协议和MV720 GPS Tracker的Web服务器,该服务器由中国公司Micodus开发。beplay体育能用吗
成功滥用虫子可能会看到攻击者“为整个商业或紧急车辆的燃料切开燃料”,使用GPS数据“监视并突然停止在危险高速公路上停车”,或“跟踪个人或要求赎金,以将残疾车辆返回到工作条件”,根据研究(PDF)来自Bitsight。
巨大的攻击表面
根据网络安全公司的说法,Micodus MV720至少在169个国家 /地区为客户提供盗窃保护和车队管理功能,包括一家财富50能源公司,南美洲的国家军事,西欧联邦政府,国家执法,是一家联邦政府西欧的代理机构和核电站运营商。
令人震惊的是,Bitsight说,Umbelino还发现了与该公司相关的安全问题云- 网络,iOS和Android的基于基于的设备管理接口,这意味着其他Micodus beplay体育能用吗GPS跟踪模型也可能是不安全的。如果Micodus自己的数字是准确的,则等于全球150万个潜在的脆弱设备。
有了尚未实现的安全补丁,Bitsight敦促用户“立即停止使用或禁用任何MICODUS MV720 GPS跟踪器,直到可以使用修复程序”。
一个安全咨询来自美国网络安全和基础设施安全局(CISA)说,“没有知名的公共利益专门针对这些漏洞”,在MV720 GPS跟踪器中。
认证问题
API服务器中的两个关键身份验证问题均为9.8的CVSS得分,使“攻击者可以直接将SMS命令发送到GPS跟踪器,就像来自GPS所有者的手机号码一样”。
一个错误与硬编码的主密码(CVE-2022-2107)有关,另一个错误是由不适当的身份验证(CVE-2022-2141)引起的,可能会启用MIDDLE(MITM)攻击。
设备和移动接口是用默认密码“ 123456”预配置的,该密码被归类为高度严重性(CVSS 8.1)问题,尽管CISA拒绝分配CVE。根据Bitsight的说法,“没有强制性规则可以更改密码”,也没有任何要求的过程”,发现1,000个响应设备ID中有94.5%仍然具有默认密码。
使用设备ID易于预测,并且服务器似乎缺乏密码蛮力缓解(例如限制速率),攻击者可以轻松访问随机的GPS跟踪器。
反映的高度严重程度(CVSS 7.5)跨站脚本(XSS)影响主Web服务器的漏洞可以使攻击者“完全妥协设备”。beplay体育能用吗
主Web服务器还包beplay体育能用吗含一对身份验证的不安全的直接对象参考漏洞,该漏洞是CVE-2022-34150(CVSS 7.1)和CVE-2022-33944(CVSS 6.5)。
“拥有一个集中式仪表板来监视GPS跟踪器,具有启用或禁用车辆,监视速度,路线和利用其他功能的能力”是有用的潜在危险的,建议的是BiTsight。
“不幸的是,MICODUS MV720缺乏基本的安全保护”,并且只有“有限的测试,Bitsight发现了许多影响GPS Tracker生态系统所有组件的缺陷”。
BiTsight表示,它首先在2021年9月9日向供应商披露了这些缺陷,在最初做出回应后,Micodus未能回复Bitsight和CISA的多个随后的更新请求。Bitsight昨天(7月19日)发表了其发现。
