近日���,安全公司BitSight宣稱(chēng)在中國(guó)產(chǎn)的GPS追蹤器Micodus MV720中發(fā)現(xiàn)了六個(gè)漏洞,MV720是一款暢銷(xiāo)全球的售價(jià)約20美元的GPS車(chē)載定位追蹤器�����。BitSight的安全研究人員認(rèn)為����,其他Micodus跟蹤器型號(hào)中也可能存在相同的嚴(yán)重漏洞。
根據(jù)BitSight的報(bào)道�����,Micodus聲稱(chēng)其42萬(wàn)名客戶(hù)共部署了150萬(wàn)臺(tái)追蹤器�,客戶(hù)包括政府、軍隊(duì)�����、執(zhí)法機(jī)構(gòu)以及航空航天����、航運(yùn)和制造公司�����。BitSight的調(diào)查發(fā)現(xiàn)來(lái)自全球169個(gè)國(guó)家/地區(qū)的有近240萬(wàn)個(gè)連接指向MiCODUS API服務(wù)器(題圖)���。
BitSight的報(bào)告發(fā)布后,美國(guó)關(guān)鍵基礎(chǔ)設(shè)施安全局(CISA)建議美國(guó)用戶(hù)在漏洞修復(fù)前立即停止使用這一流行的GPS車(chē)載定位跟蹤設(shè)備���,理由是存在許多漏洞��,黑客可以在汽車(chē)行駛時(shí)遠(yuǎn)程禁用汽車(chē)����,跟蹤位置歷史�、解除警報(bào)和切斷燃料��。
Micodus的技術(shù)架構(gòu)
根據(jù)BitSight的調(diào)查報(bào)告��,在Micodus設(shè)備中發(fā)現(xiàn)了六個(gè)“嚴(yán)重”漏洞���,這些漏洞可導(dǎo)致大量攻擊���。其中一個(gè)漏洞是使用未加密的HTTP通信�,這使遠(yuǎn)程黑客可以進(jìn)行中間人攻擊���,攔截或更改移動(dòng)應(yīng)用程序和支持服務(wù)器之間發(fā)送的請(qǐng)求�����。其他漏洞包括移動(dòng)應(yīng)用程序中存在缺陷的身份驗(yàn)證機(jī)制���,該機(jī)制允許攻擊者訪(fǎng)問(wèn)用于鎖定跟蹤器的硬編碼密鑰,以及使用自定義IP地址的能力��,使黑客可以監(jiān)控和控制進(jìn)出的所有設(shè)備通信�����。CISA給其中五個(gè)漏洞分配了以下CVE編號(hào)(API服務(wù)器默認(rèn)密碼問(wèn)題不被視為漏洞���,未獲得CVE編號(hào)):
● CVE-2022-2107硬編碼密碼(API服務(wù)器)CVSS3.1評(píng)分:9.8
● CVE-2022-2141認(rèn)證損壞(API服務(wù)器/GPS跟蹤器協(xié)議)CVSS3.1評(píng)分:9.8
● CVE-2022-2199反射跨站腳本(Web服務(wù)器)CVSS3.1評(píng)分:7.5
● CVE-2022-34150不安全的直接對(duì)象引用CVSS3.1評(píng)分:7.1
● CVE-2022-33944不安全的直接對(duì)象引用(web服務(wù)器)CVSS3.1評(píng)分:6.5
這六個(gè)漏洞中尤為值得關(guān)注的是編號(hào)CVE-2022-2107的漏洞�,這是一種硬編碼密碼漏洞�����,其嚴(yán)重性等級(jí)為9.8(滿(mǎn)分為10級(jí))。Micodus跟蹤器將其用作默認(rèn)主密碼�����,根據(jù)BitSight的測(cè)試���,1000臺(tái)設(shè)備樣本中有95%在使用未更改的默認(rèn)密碼來(lái)訪(fǎng)問(wèn)�����。獲得此密碼的黑客可以使用它登錄網(wǎng)絡(luò)服務(wù)器�����,冒充合法用戶(hù)����,并通過(guò)看似來(lái)自GPS用戶(hù)手機(jī)號(hào)碼的SMS通信向跟蹤器發(fā)送命令�����。通過(guò)這種控制��,黑客可以:
● 完全控制任何GPS跟蹤器
● 實(shí)時(shí)訪(fǎng)問(wèn)位置信息��、路線(xiàn)��、地理圍欄和跟蹤位置
● 切斷車(chē)輛燃料
● 解除警報(bào)和其他功能
更糟糕的是��,硬編碼密碼可能意味著唯一有效的補(bǔ)救策略是移除MV720設(shè)備或從設(shè)備中移除SIM卡��。
另一個(gè)漏洞CVE-2022-2141可導(dǎo)致Micodus服務(wù)器和GPS跟蹤器用于通信的協(xié)議中的身份驗(yàn)證狀態(tài)損壞�。
其他三個(gè)漏洞分別是:Web服務(wù)器反射跨站點(diǎn)腳本錯(cuò)誤(CVE-2022-2199)以及不安全的直接對(duì)象引用(CVE-2022-34150、CVE-2022-33944)�����。
“利用這些漏洞可能會(huì)產(chǎn)生災(zāi)難性甚至危及生命的影響��,”BitSight研究人員寫(xiě)道����。“例如,攻擊者可以利用一些漏洞為整個(gè)商用或應(yīng)急車(chē)輛車(chē)隊(duì)減少燃料�。或者�����,攻擊者可以利用GPS信息來(lái)監(jiān)控和甚至突然停止在高速公路上行駛的車(chē)輛來(lái)制造危險(xiǎn)����。攻擊者還可以選擇秘密跟蹤個(gè)人或要求支付贖金以使車(chē)輛恢復(fù)工作狀態(tài)����。有許多可能的攻擊方式都能導(dǎo)致生命損失��、財(cái)產(chǎn)損失����、隱私侵犯和威脅國(guó)家安全。”
BitSight報(bào)告指出����,存在漏洞的追蹤設(shè)備有兩個(gè)廣泛的用例。在一些國(guó)家�,數(shù)據(jù)表明這些設(shè)備用于管理車(chē)隊(duì)。然而����,在其他國(guó)家,大量的個(gè)人連接表明個(gè)人正在使用這些設(shè)備進(jìn)行防盜應(yīng)用��。
“印度尼西亞有許多與MiCODUS服務(wù)器通信的唯一IP地址�,但主要在GPS跟蹤器端口中�����,”BitSight在報(bào)告中指出:“這可能表明有少量用戶(hù)擁有大量設(shè)備,這在車(chē)隊(duì)管理場(chǎng)景中很典型�����。相比之下��,墨西哥與網(wǎng)絡(luò)和移動(dòng)端口的連接數(shù)量非常多����,這可能意味著個(gè)人正在使用GPS追蹤器作為防盜設(shè)備。”
BitSight估計(jì)��,墨西哥�、俄羅斯和烏茲別克斯坦是個(gè)人用戶(hù)最多的國(guó)家。俄羅斯���、摩洛哥和智利似乎擁有最多的實(shí)際設(shè)備���。
BitSight表示,它于9月首次聯(lián)系Micodus�,將這些漏洞通知公司官員。BitSight和CISA在嘗試與制造商私下接觸數(shù)月后,終于在周二公布了調(diào)查結(jié)果���。截至撰寫(xiě)本文時(shí)�,所有漏洞仍未修補(bǔ)和緩解����。
研究人員寫(xiě)道:“BitSight建議目前使用MiCODUS MV720 GPS跟蹤設(shè)備的個(gè)人和組織禁用這些設(shè)備,直到有可用的修復(fù)程序��。”“使用任何MiCODUS GPS跟蹤器的組織���,無(wú)論型號(hào)如何�,都應(yīng)注意其系統(tǒng)架構(gòu)的不安全性�,這可能會(huì)使任何設(shè)備面臨風(fēng)險(xiǎn)。”
BitSight對(duì)物聯(lián)網(wǎng)設(shè)備的漏洞修復(fù)速度感到悲觀(guān)����,該公司在報(bào)告中指出:如果你認(rèn)為修補(bǔ)常規(guī)軟件很困難,那么修補(bǔ)IoT設(shè)備的難度是它的十倍��。“(即便漏洞補(bǔ)丁發(fā)布)����,仍然可能有90%的易受攻擊的GPS跟蹤設(shè)備將仍然保持脆弱并可被利用�����。”
報(bào)告鏈接:
https://www.bitsight.com/sites/default/files/2022-07/MiCODUS-GPS-Report-Final.pdf
來(lái)源:GoUpSec
在線(xiàn)咨詢(xún)
在線(xiàn)咨詢(xún)
0371-63319761