漏洞研究人员发现全球50强企业、欧洲政府、美国各州、南美军方广泛使用的GPS追踪器MiCODUSMV720相关安全问题机构和核电站运营商等,在169个国家共计约150万辆。MiCODUSMV720用户图(BitSight)在MV720设备中一共发现了6个漏洞。入侵该设备的黑客可以利用它来跟踪甚至定位使用该设备的车辆。他们还可以收集有关路线的信息并通过设备处理数据。.考虑到该设备的很多用户都有军政背景,黑客的攻击很可能会影响国家安全。例如,网络安全公司BitSight的研究人员报告称,MiCODUSGPS追踪器被乌克兰国有运输机构使用,因此俄罗斯黑客可以将其作为目标,以确定补给路线、部队调动或巡逻路线。漏洞详情虽然并非所有BitSight发现的6个漏洞都已获得识别编号,但每个漏洞的具体细节如下:CVE-2022-2107:API服务器上的硬编码主密码,允许未经身份验证的远程攻击者获取访问任何MV720跟踪器的完全控制权、执行燃料切断操作、跟踪用户和解除警报。(严重性评分:9.8)针对易受攻击的API端点(BitSight)CVE-2022-2141:破解的身份验证方案允许任何人通过SMS向GPS跟踪器发送一些命令并以管理员权限运行。(严重性评分:9.8)支持管理员用户的SMS命令(BitSight)未指定CVE:所有MV720跟踪器上的默认密码(123456)都很弱,并且没有强制性规则要求用户在初始设备设置后更改密码。(高严重性分数:8.1)CVE-2022-2199:反映在主Web服务器上的跨站点脚本(XSS),允许攻击者访问用户帐户、与应用程序交互并查看该用户可访问的所有信息。(高严重性分数:7.5)CVE-2022-34150:主Web服务器上的不安全直接对象引用,允许登录用户访问服务器数据库中任何设备ID的数据。(高严重性分数:7.1)CVE-2022-33944:主Web服务器上的不安全直接对象引用,允许未经身份验证的用户生成有关GPS跟踪器活动的Excel报告。(中等严重性分数:6.5)访问位置和移动信息(BitSight)。BitSight已经为获得标识号的五个缺陷开发了概念验证(PoC)代码,并演示了如何在野外利用它们。披露和修复BitSight于2021年9月9日发现了这些严重缺陷,并试图立即提醒MiCODUS,但难以找到合适的人来接受安全报告。2021年10月1日再次联系了GPS追踪器的中国供应商,但供应商拒绝提供安全或工程联系人。随后在11月尝试联系供应商,但没有得到回应。最后,在2022年1月14日,BitSight与美国国土安全部分享了其调查结果的所有技术细节,并要求他们与供应商接洽。目前,MiCODUSMV720GPS追踪器仍存在上述缺陷,厂商尚未提供修复方案。因此,BitSight建议使用MiCODUSMV720GPS追踪器的用户应立即禁用这些设备,并在修复发布前更换为其他GPS追踪器。继续使用MiCODUSMV720GPS追踪器将面临极大的安全风险,尤其是在这些漏洞被公开披露之后。
