漏洞研究人員在 GPS 跟蹤器中發現了安全問題，該跟蹤器被宣傳為存在于 169 個國家/地區的約 150 萬輛汽車中。

共有六個漏洞影響 MiCODUS MV720 設備，該設備存在于多家財富 50 強公司、歐洲政府、美國各州、南美軍事機構和核電站運營商使用的車輛中。

此次發現MV720設備存在共有6個漏洞，侵入該設備的黑客可以利用它來追蹤甚至定位使用該設備的車輛，也可以通過該設備收集有關路線的信息，并操縱數據。考慮到該設備的許多用戶存在軍政背景，黑客的攻擊很有可能會影響國家安全。

漏洞詳情

雖然不是所有BitSight發現的六個漏洞都獲得了識別號，但各個漏洞的具體細節如下：

CVE-2022-2107：API服務器上的硬編碼主密碼，允許未經認證的遠程攻擊者獲得對任何MV720追蹤器的完全控制，執行切斷燃料行動，追蹤用戶，并解除警報。(嚴重程度得分：9.8)

沒有指定的CVE：所有MV720追蹤器上的默認密碼（123456）都很弱，沒有強制規則要求用戶在初始設備設置后進行更改。(嚴重程度高分：8.1)

CVE-2022-2199：反映在主網絡服務器上的跨站腳本（XSS），允許攻擊者訪問用戶賬戶，與應用程序互動，并查看該用戶可訪問的所有信息。(嚴重程度高分: 7.5)

CVE-2022-34150: 主網絡服務器上不安全的直接對象引用，允許登錄的用戶訪問服務器數據庫中任何設備ID的數據。(嚴重程度高分: 7.1)

CVE-2022-33944: 主網絡服務器上不安全的直接對象引用，允許未經認證的用戶生成關于GPS跟蹤器活動的Excel報告。(中等嚴重程度評分：6.5)

BitSight已經為獲得識別號的五個缺陷開發了概念驗證（PoCs）代碼，并展示了它們如何在野外被利用。

披露和修復

BitSight在2021年9月9日發現了這些關鍵缺陷，并試圖立即提醒MiCODUS，但遇到了困難，找不到合適的人接受安全報告。

2021年10月1日再次聯系了GPS追蹤器的中國供應商，但供應商拒絕提供安全或工程聯系人。隨后在11月試圖聯系該供應商，但沒有得到回應。

最后，在2022年1月14日，BitSight與美國國土安全部分享了其發現的所有技術細節，并要求他們與該供應商接觸。

目前，MiCODUS MV720 GPS追蹤器仍然容易受到上述缺陷的影響，而且供應商還沒有提供修復方案。因此，BitSight建議在修復方案出臺前，使用MiCODUS MV720 GPS追蹤器的用戶應該立即禁用這些設備，并使用其他的GPS追蹤器進行替代。繼續使用MiCODUS MV720 GPS追蹤器將是一個極端的安全風險，尤其是在這些漏洞被公開披露之后。

及時掌握網絡安全態勢 盡在傻蛋網絡安全監測系統

【網絡安全監管部門】免費試用

本文來源:互聯網

如涉及侵權，請及時與我們聯系，我們會在第一時間刪除或處理侵權內容。
電話：400-869-9193 負責人：張明