未修补的GPS跟踪器漏洞可能让攻击者远程干扰车辆

美国网络安全和基础设施安全局（CISA）警告称，配备在150多万辆汽车上的MiCODUS MV720全球定位系统（GPS）跟踪器中存在少数未修补的安全漏洞，可能导致关键操作的远程中断。

CISA表示：“成功利用这些漏洞可能使远程参与者能够利用全球定位系统跟踪器的访问权限并获得控制权”。“这些漏洞可能会影响对车辆燃料供应、车辆控制的访问，或允许对安装该设备的车辆进行位置监控”。

该公司的跟踪设备售价20美元，由总部位于中国的MiCODUS制造，在航空航天、能源、工程、政府、制造、核电站和航运等169个国家的主要组织中使用。

用户最多的国家包括智利、澳大利亚、墨西哥、乌克兰、俄罗斯、摩洛哥、委内瑞拉、巴西、波兰、意大利、印度尼西亚、乌兹别克斯坦和南非。

BitSight研究人员指出：“一个民族国家的对手可能会利用跟踪器的漏洞收集与军事有关的行动情报，包括补给路线、定期部队行动和定期巡逻”。

2021 9月向MiCODUS披露的缺陷清单如下

• CVE-2022-2107（CVSS分数：9.8）使用硬编码主密码，使未经验证的攻击者能够执行中间对手（AitM）攻击并夺取跟踪器的控制权。
• CVE-2022-2141（CVSS分数：9.8）API服务器中的身份验证方案被破坏，使攻击者能够控制GPS跟踪器和原始服务器之间的所有流量并获得控制。
• 未分配CVE（CVSS分数：8.1）使用预配置的默认密码“123456”，允许攻击者随机访问任何GPS跟踪器。
• CVE-2022-2199（CVSS分数：7.5）web服务器中反映的跨站点脚本（XSS）漏洞，可能导致在web浏览器中执行任意JavaScript代码。
• CVE-2022-34150（CVSS分数：7.1）源于不安全的直接对象引用（IDOR）的访问控制漏洞，可能导致敏感信息的暴露。
• CVE-2022-33944（CVSS分数：6.5）一种经过身份验证的IDOR漏洞，可用于生成有关设备活动的Excel报告。

但由于有解决办法，建议有关GPS跟踪器的用户采取措施，尽量减少接触，或者停止使用这些设备，并将其完全禁用，直到该公司提供修复方案。

“有一个集中的仪表板来监控GPS跟踪器，能够启用或禁用车辆、监控速度、路线和利用其他功能，这对许多个人和组织都很有用，”研究人员说。“然而，这种功能可能会带来严重的安全风险”。