国产MiCODUS GPS MV720定位器多安全漏洞,可获取管理员权限,影响全球150万车辆。
MiCODUS是广东深圳MiCODUS电子公司生产的一款廉价的车载定位器,售价仅20美元,具有可靠的基于蜂窝的定位追踪功能,是一款非常流行的车载定位器。
BitSight研究人员在一款MiCODUS 车载GPS追踪器——MV720中发现了多个安全漏洞,影响全球169个国家的150万车辆,涉及财富50强公司、欧洲政府、美国州、南美军事机构、核电站操作人员。
MiCODUS MV720用户分布
研究人员在MiCODUS MV720车载定位器中共发现了6个安全漏洞,分别是:
CVE-2022-2107: API服务器上硬编码master口令,CVSS评分9.8分,非认证的远程攻击者可以获取MV720定位器的完全控制权限,执行追踪用户、切断燃油供应等操作。
图 有漏洞的API
CVE-2022-2141: 认证方案安全漏洞,CVSS 评分9.8分,任意用户通过SMS发送命令给GPS追踪器,并可以以管理员权限运行命令。
图 支持的管理员SMS命令
弱口令(未分配CVE编号):所有MV720定位器的默认密码都是123456,且没有强制规则要求用户在设备初始化后修改密码。
CVE-2022-2199: 主web服务器反射XSS漏洞,CVSS评分7.5分,攻击者利用该漏洞可以访问用户账户,与APP进行交互,查看用户所有信息。
CVE-2022-34150:主web服务器上不安全的直接对象引用,CVSS评分7.1分,允许登录用户访问服务器数据库的任意数据
CVE-2022-33944: 主web服务器上不安全的直接对象引用,CVSS评分6.5分,未认证的用户可以生成关于GPS定位器活动的Excel报告。
图 访问用户位置和移动信息
BitSight 研究人员发布了5个漏洞的PoC代码,证明漏洞可以被利用。
研究人员早在2021年9月9日发现了该安全漏洞,并与MiCODUS联系,但未找到接收安全报告的人。2022年1月14日,BitSight将该漏洞技术细节分享给了美国国土安全局。
截止目前,仍然没有发布补丁,MiCODUS MV720 GPS定位器仍然受到以上安全漏洞的影响。研究人员建议用户禁用该设备,以免受潜在的安全威胁。
参考及来源:https://www.bleepingcomputer.com/news/security/popular-vehicle-gps-tracker-gives-hackers-admin-privileges-over-sms/