Ερευνητές ανακάλυψαν ζητήματα ασφαλείας σε έναν GPS tracker που διαφημίζεται ότι υπάρχει σε περίπου 1,5 εκατομμύριο οχήματα σε 169 χώρες.
Δείτε επίσης: Hacking group «8220»: Το botnet cloud επηρεάζει 30.000 κεντρικούς υπολογιστές
Συνολικά έξι τρωτά σημεία επηρεάζουν τη συσκευή MiCODUS MV720, η οποία υπάρχει σε οχήματα που χρησιμοποιούνται από πολλές εταιρείες Fortune 50, κυβερνήσεις στην Ευρώπη, πολιτείες των ΗΠΑ, στρατιωτική υπηρεσία στη Νότια Αμερική και χειριστή πυρηνικών σταθμών.
Οι κίνδυνοι που απορρέουν από τα ευρήματα είναι σημαντικοί και επηρεάζουν τόσο το απόρρητο όσο και την ασφάλεια. Ένας χάκερ που παραβιάζει μια συσκευή MV720 θα μπορούσε να τη χρησιμοποιήσει για την παρακολούθηση ή ακόμα και την ακινητοποίηση του οχήματος που τη μεταφέρει ή για τη συλλογή πληροφοριών σχετικά με τις διαδρομές.
Λαμβάνοντας υπόψη τους ρόλους πολλών από τους χρήστες της συσκευής, οι αντίπαλοι των εθνικών κρατών θα μπορούσαν να τους αξιοποιήσουν για να πραγματοποιήσουν επιθέσεις που μπορεί να έχουν επιπτώσεις στην εθνική ασφάλεια.
Για παράδειγμα, οι GPS trackers MiCODUS χρησιμοποιούνται από την κρατική ουκρανική υπηρεσία μεταφορών, έτσι οι Ρώσοι χάκερ θα μπορούσαν να τους στοχεύσουν για να καθορίσουν διαδρομές ανεφοδιασμού, κινήσεις στρατευμάτων ή διαδρομές περιπολίας, λένε ερευνητές της εταιρείας κυβερνοασφάλειας BitSight σε σημερινή έκθεση.
Δείτε επίσης: Το Βέλγιο λέει ότι Κινέζοι χάκερ επιτέθηκαν στο Υπουργείο Άμυνας του
Λεπτομέρειες ευπάθειας
Η BitSight εξέτασε το συγκεκριμένο μοντέλο MiCODUS επειδή είναι μια συσκευή χαμηλού κόστους (20 $) και πολύ δημοφιλής, διαθέτει αξιόπιστες λειτουργίες παρακολούθησης με δυνατότητα κινητής τηλεφωνίας και μπορεί να χρησιμοποιηθεί για δυνητικά επικίνδυνες δραστηριότητες.
Παρόλο που δεν έχουν λάβει και τα έξι τρωτά σημεία που βρέθηκαν το BitSight έναν αριθμό αναγνώρισης, περιγράφονται ως εξής:
- CVE-2022-2107: Hardcoded master password στον server API, που επιτρέπει σε έναν απομακρυσμένο εισβολέα χωρίς έλεγχο ταυτότητας να αποκτήσει τον πλήρη έλεγχο οποιουδήποτε MV720 tracker, να εκτελεί ενέργειες διακοπής καυσίμου, να παρακολουθεί τους χρήστες και να αφοπλίζει συναγερμούς. (κρίσιμη βαθμολογία σοβαρότητας: 9,8)
- CVE-2022-2141: Κατεστραμμένο σύστημα ελέγχου ταυτότητας που επιτρέπει σε οποιονδήποτε να στείλει ορισμένες εντολές στον GPS tracker μέσω SMS και να τις εκτελέσει με δικαιώματα διαχειριστή. (κρίσιμη βαθμολογία σοβαρότητας: 9,8)
- Χωρίς εκχωρημένο CVE: Αδύναμος προεπιλεγμένος κωδικός πρόσβασης (123456) σε όλους τους MV720 trackers, χωρίς υποχρεωτικό κανόνα που να απαιτεί από τον χρήστη να τον αλλάξει μετά την αρχική ρύθμιση της συσκευής. (βαθμολογία υψηλής σοβαρότητας: 8,1)
- CVE-2022-2199: cross-site scripting (XSS) στον κύριο web server, που επιτρέπει σε έναν εισβολέα να έχει πρόσβαση σε λογαριασμούς χρηστών, να αλληλεπιδρά με τις εφαρμογές και να προβάλλει όλες τις πληροφορίες στις οποίες έχει πρόσβαση ο συγκεκριμένος χρήστης. (βαθμολογία υψηλής σοβαρότητας: 7,5)
- CVE-2022-34150: Μη ασφαλής άμεση αναφορά αντικειμένου στον κύριο web server, που επιτρέπει στους συνδεδεμένους χρήστες να έχουν πρόσβαση σε δεδομένα από οποιοδήποτε αναγνωριστικό συσκευής στο server database. (βαθμολογία υψηλής σοβαρότητας: 7,1)
- CVE-2022-33944: Επισφαλές άμεσο object reference στον κύριο web server, επιτρέποντας στους μη πιστοποιημένους χρήστες να δημιουργούν αναφορές Excel σχετικά με τη δραστηριότητα του GPS tracker. (μέτρια βαθμολογία σοβαρότητας: 6,5)
Η BitSight έχει αναπτύξει κώδικα proof of concept (PoCs) για τα πέντε ελαττώματα που έλαβαν αριθμό αναγνώρισης.
Η εταιρεία ασφαλείας ανακάλυψε τα κρίσιμα ελαττώματα στις 9 Σεπτεμβρίου 2021 και προσπάθησε να ειδοποιήσει αμέσως τη MiCODUS, αλλά αντιμετώπισε δυσκολίες στην εύρεση του κατάλληλου ατόμου για να αποδεχτεί μια αναφορά ασφαλείας.
Δείτε επίσης: Το Luna ransomware κρυπτογραφεί συστήματα Windows, Linux και ESXi
Στις 14 Ιανουαρίου 2022, η BitSight μοιράστηκε όλες τις τεχνικές λεπτομέρειες των ευρημάτων της με το Υπουργείο Εσωτερικής Ασφάλειας των ΗΠΑ και τους ζήτησε να συνεργαστούν με τον προμηθευτή μέσω των καναλιών επικοινωνίας τους.
Επί του παρόντος, ο GPS tracker MiCODUS MV720 παραμένει ευάλωτος στα αναφερόμενα ελαττώματα και ο προμηθευτής δεν έχει κάνει διαθέσιμη κάποια επιδιόρθωση.
Πηγή πληροφοριών: bleepingcomputer.com
