漏洞研究人員在 GPS 跟蹤器中發(fā)現(xiàn)了安全問題，該跟蹤器被宣傳為存在于 169 個國家/地區(qū)的約 150 萬輛汽車中。

共有六個漏洞影響 MiCODUS MV720 設(shè)備，該設(shè)備存在于多家財富 50 強公司、歐洲政府、美國各州、南美軍事機構(gòu)和核電站運營商使用的車輛中。

此次發(fā)現(xiàn)MV720設(shè)備存在共有6個漏洞，侵入該設(shè)備的黑客可以利用它來追蹤甚至定位使用該設(shè)備的車輛，也可以通過該設(shè)備收集有關(guān)路線的信息，并操縱數(shù)據(jù)。考慮到該設(shè)備的許多用戶存在軍政背景，黑客的攻擊很有可能會影響國家安全。

漏洞詳情

雖然不是所有BitSight發(fā)現(xiàn)的六個漏洞都獲得了識別號，但各個漏洞的具體細節(jié)如下：

CVE-2022-2107：API服務(wù)器上的硬編碼主密碼，允許未經(jīng)認證的遠程攻擊者獲得對任何MV720追蹤器的完全控制，執(zhí)行切斷燃料行動，追蹤用戶，并解除警報。(嚴重程度得分：9.8)

沒有指定的CVE：所有MV720追蹤器上的默認密碼（123456）都很弱，沒有強制規(guī)則要求用戶在初始設(shè)備設(shè)置后進行更改。(嚴重程度高分：8.1)

CVE-2022-2199：反映在主網(wǎng)絡(luò)服務(wù)器上的跨站腳本（XSS），允許攻擊者訪問用戶賬戶，與應(yīng)用程序互動，并查看該用戶可訪問的所有信息。(嚴重程度高分: 7.5)

CVE-2022-34150: 主網(wǎng)絡(luò)服務(wù)器上不安全的直接對象引用，允許登錄的用戶訪問服務(wù)器數(shù)據(jù)庫中任何設(shè)備ID的數(shù)據(jù)。(嚴重程度高分: 7.1)

CVE-2022-33944: 主網(wǎng)絡(luò)服務(wù)器上不安全的直接對象引用，允許未經(jīng)認證的用戶生成關(guān)于GPS跟蹤器活動的Excel報告。(中等嚴重程度評分：6.5)

BitSight已經(jīng)為獲得識別號的五個缺陷開發(fā)了概念驗證（PoCs）代碼，并展示了它們?nèi)绾卧谝巴獗焕谩?/p>

披露和修復(fù)

BitSight在2021年9月9日發(fā)現(xiàn)了這些關(guān)鍵缺陷，并試圖立即提醒MiCODUS，但遇到了困難，找不到合適的人接受安全報告。

2021年10月1日再次聯(lián)系了GPS追蹤器的中國供應(yīng)商，但供應(yīng)商拒絕提供安全或工程聯(lián)系人。隨后在11月試圖聯(lián)系該供應(yīng)商，但沒有得到回應(yīng)。

最后，在2022年1月14日，BitSight與美國國土安全部分享了其發(fā)現(xiàn)的所有技術(shù)細節(jié)，并要求他們與該供應(yīng)商接觸。

目前，MiCODUS MV720 GPS追蹤器仍然容易受到上述缺陷的影響，而且供應(yīng)商還沒有提供修復(fù)方案。因此，BitSight建議在修復(fù)方案出臺前，使用MiCODUS MV720 GPS追蹤器的用戶應(yīng)該立即禁用這些設(shè)備，并使用其他的GPS追蹤器進行替代。繼續(xù)使用MiCODUS MV720 GPS追蹤器將是一個極端的安全風(fēng)險，尤其是在這些漏洞被公開披露之后。

及時掌握網(wǎng)絡(luò)安全態(tài)勢 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費試用

本文來源:互聯(lián)網(wǎng)

如涉及侵權(quán)，請及時與我們聯(lián)系，我們會在第一時間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負責(zé)人：張明