国产MiCODUS GPS车载定位器多安全漏洞,影响全球150万车辆
2022-7-25 12:0:45 Author: 嘶吼专业版(查看原文) 阅读量:23 收藏

国产MiCODUS GPS MV720定位器多安全漏洞,可获取管理员权限,影响全球150万车辆。

MiCODUS是广东深圳MiCODUS电子公司生产的一款廉价的车载定位器,售价仅20美元,具有可靠的基于蜂窝的定位追踪功能,是一款非常流行的车载定位器。

BitSight研究人员在一款MiCODUS 车载GPS追踪器——MV720中发现了多个安全漏洞,影响全球169个国家的150万车辆,涉及财富50强公司、欧洲政府、美国州、南美军事机构、核电站操作人员。

MiCODUS MV720用户分布

研究人员在MiCODUS MV720车载定位器中共发现了6个安全漏洞,分别是:

CVE-2022-2107: API服务器上硬编码master口令,CVSS评分9.8分,非认证的远程攻击者可以获取MV720定位器的完全控制权限,执行追踪用户、切断燃油供应等操作。

图 有漏洞的API

CVE-2022-2141: 认证方案安全漏洞,CVSS 评分9.8分,任意用户通过SMS发送命令给GPS追踪器,并可以以管理员权限运行命令。

图 支持的管理员SMS命令

弱口令(未分配CVE编号):所有MV720定位器的默认密码都是123456,且没有强制规则要求用户在设备初始化后修改密码。

CVE-2022-2199: 主web服务器反射XSS漏洞,CVSS评分7.5分,攻击者利用该漏洞可以访问用户账户,与APP进行交互,查看用户所有信息。

CVE-2022-34150:主web服务器上不安全的直接对象引用,CVSS评分7.1分,允许登录用户访问服务器数据库的任意数据

CVE-2022-33944: 主web服务器上不安全的直接对象引用,CVSS评分6.5分,未认证的用户可以生成关于GPS定位器活动的Excel报告。

图 访问用户位置和移动信息

BitSight 研究人员发布了5个漏洞的PoC代码,证明漏洞可以被利用。

研究人员早在2021年9月9日发现了该安全漏洞,并与MiCODUS联系,但未找到接收安全报告的人。2022年1月14日,BitSight将该漏洞技术细节分享给了美国国土安全局。

截止目前,仍然没有发布补丁,MiCODUS MV720 GPS定位器仍然受到以上安全漏洞的影响。研究人员建议用户禁用该设备,以免受潜在的安全威胁。

参考及来源:https://www.bleepingcomputer.com/news/security/popular-vehicle-gps-tracker-gives-hackers-admin-privileges-over-sms/


文章来源: http://mp.weixin.qq.com/s?__biz=MzI0MDY1MDU4MQ==&mid=2247546582&idx=1&sn=fc4fd9648fb461427c8603a56d5f6a9d&chksm=e915e6ecde626ffa9411b0eb3a29ae6c7b6f0705529e639f43ed751a5685c1cc33a277922c6c#rd
如有侵权请联系:admin#unsafe.sh