漏洞研究人員在 GPS 跟蹤器中發(fā)現(xiàn)了安全問題，該跟蹤器被宣傳為存在于 169 個(gè)國(guó)家/地區(qū)的約 150 萬輛汽車中。

共有六個(gè)漏洞影響 MiCODUS MV720 設(shè)備，該設(shè)備存在于多家財(cái)富 50 強(qiáng)公司、歐洲政府、美國(guó)各州、南美軍事機(jī)構(gòu)和核電站運(yùn)營(yíng)商使用的車輛中。

此次發(fā)現(xiàn)MV720設(shè)備存在共有6個(gè)漏洞，侵入該設(shè)備的黑客可以利用它來追蹤甚至定位使用該設(shè)備的車輛，也可以通過該設(shè)備收集有關(guān)路線的信息，并操縱數(shù)據(jù)。考慮到該設(shè)備的許多用戶存在軍政背景，黑客的攻擊很有可能會(huì)影響國(guó)家安全。

漏洞詳情

雖然不是所有BitSight發(fā)現(xiàn)的六個(gè)漏洞都獲得了識(shí)別號(hào)，但各個(gè)漏洞的具體細(xì)節(jié)如下：

CVE-2022-2107：API服務(wù)器上的硬編碼主密碼，允許未經(jīng)認(rèn)證的遠(yuǎn)程攻擊者獲得對(duì)任何MV720追蹤器的完全控制，執(zhí)行切斷燃料行動(dòng)，追蹤用戶，并解除警報(bào)。(嚴(yán)重程度得分：9.8)

沒有指定的CVE：所有MV720追蹤器上的默認(rèn)密碼（123456）都很弱，沒有強(qiáng)制規(guī)則要求用戶在初始設(shè)備設(shè)置后進(jìn)行更改。(嚴(yán)重程度高分：8.1)

CVE-2022-2199：反映在主網(wǎng)絡(luò)服務(wù)器上的跨站腳本（XSS），允許攻擊者訪問用戶賬戶，與應(yīng)用程序互動(dòng)，并查看該用戶可訪問的所有信息。(嚴(yán)重程度高分: 7.5)

CVE-2022-34150: 主網(wǎng)絡(luò)服務(wù)器上不安全的直接對(duì)象引用，允許登錄的用戶訪問服務(wù)器數(shù)據(jù)庫中任何設(shè)備ID的數(shù)據(jù)。(嚴(yán)重程度高分: 7.1)

CVE-2022-33944: 主網(wǎng)絡(luò)服務(wù)器上不安全的直接對(duì)象引用，允許未經(jīng)認(rèn)證的用戶生成關(guān)于GPS跟蹤器活動(dòng)的Excel報(bào)告。(中等嚴(yán)重程度評(píng)分：6.5)

BitSight已經(jīng)為獲得識(shí)別號(hào)的五個(gè)缺陷開發(fā)了概念驗(yàn)證（PoCs）代碼，并展示了它們?nèi)绾卧谝巴獗焕谩?/p>

披露和修復(fù)

BitSight在2021年9月9日發(fā)現(xiàn)了這些關(guān)鍵缺陷，并試圖立即提醒MiCODUS，但遇到了困難，找不到合適的人接受安全報(bào)告。

2021年10月1日再次聯(lián)系了GPS追蹤器的中國(guó)供應(yīng)商，但供應(yīng)商拒絕提供安全或工程聯(lián)系人。隨后在11月試圖聯(lián)系該供應(yīng)商，但沒有得到回應(yīng)。

最后，在2022年1月14日，BitSight與美國(guó)國(guó)土安全部分享了其發(fā)現(xiàn)的所有技術(shù)細(xì)節(jié)，并要求他們與該供應(yīng)商接觸。

目前，MiCODUS MV720 GPS追蹤器仍然容易受到上述缺陷的影響，而且供應(yīng)商還沒有提供修復(fù)方案。因此，BitSight建議在修復(fù)方案出臺(tái)前，使用MiCODUS MV720 GPS追蹤器的用戶應(yīng)該立即禁用這些設(shè)備，并使用其他的GPS追蹤器進(jìn)行替代。繼續(xù)使用MiCODUS MV720 GPS追蹤器將是一個(gè)極端的安全風(fēng)險(xiǎn)，尤其是在這些漏洞被公開披露之后。

及時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢(shì) 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費(fèi)試用

本文來源:互聯(lián)網(wǎng)

如涉及侵權(quán)，請(qǐng)及時(shí)與我們聯(lián)系，我們會(huì)在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明