广东深圳MiCODUS电子公司生产的MV720车载定位器,以其20美元的低廉价格和可靠的蜂窝定位功能,在全球范围内广受欢迎。然而,BitSight研究人员在这款设备中发现了多个严重的安全漏洞,这些漏洞可能影响全球169个国家的150万车辆,包括财富50强公司、欧洲政府、美国州政府、南美军事机构以及核电站操作人员。研究人员共发现了6个安全漏洞,包括硬编码的master口令、认证方案安全漏洞、默认弱口令、反射XSS漏洞以及不安全的直接对象引用。这些漏洞使得攻击者能够获取完全控制权限、执行追踪用户、切断燃油供应、访问用户账户、查看用户所有信息等。尽管研究人员在2021年9月就发现了这些漏洞,并尝试与MiCODUS联系,但至今未有补丁发布,MV720定位器仍然面临安全威胁。因此,研究人员建议用户暂时禁用该设备,以避免潜在的安全风险。
国产MiCODUSGPSMV720定位器多安全漏洞,可获取管理员权限,影响全球150万车辆。
MiCODUS是广东深圳MiCODUS电子公司生产的一款廉价的车载定位器,售价仅20美元,具有可靠的基于蜂窝的定位追踪功能,是一款非常流行的车载定位器。
BitSight研究人员在一款MiCODUS车载GPS追踪器——MV720中发现了多个安全漏洞,影响全球169个国家的150万车辆,涉及财富50强公司、欧洲政府、美国州、南美军事机构、核电站操作人员。
MiCODUSMV720用户分布
漏洞细节
研究人员在MiCODUSMV720车载定位器中共发现了6个安全漏洞,分别是:
CVE-2022-2107:API服务器上硬编码master口令,CVSS评分9.8分,非认证的远程攻击者可以获取MV720定位器的完全控制权限,执行追踪用户、切断燃油供应等操作。
图有漏洞的API
CVE-2022-2141:认证方案安全漏洞,CVSS评分9.8分,任意用户通过SMS发送命令给GPS追踪器,并可以以管理员权限运行命令。
图支持的管理员SMS命令
弱口令(未分配CVE编号):所有MV720定位器的默认密码都是123456,且没有强制规则要求用户在设备初始化后修改密码。
CVE-2022-2199:主web服务器反射XSS漏洞,CVSS评分7.5分,攻击者利用该漏洞可以访问用户账户,与APP进行交互,查看用户所有信息。
CVE-2022-34150:主web服务器上不安全的直接对象引用,CVSS评分7.1分,允许登录用户访问服务器数据库的任意数据
CVE-2022-33944:主web服务器上不安全的直接对象引用,CVSS评分6.5分,未认证的用户可以生成关于GPS定位器活动的Excel报告。
图访问用户位置和移动信息
BitSight研究人员发布了5个漏洞的PoC代码,证明漏洞可以被利用。
漏洞修复情况
研究人员早在2021年9月9日发现了该安全漏洞,并与MiCODUS联系,但未找到接收安全报告的人。2022年1月14日,BitSight将该漏洞技术细节分享给了美国国土安全局。
截止目前,仍然没有发布补丁,MiCODUSMV720GPS定位器仍然受到以上安全漏洞的影响。研究人员建议用户禁用该设备,以免受潜在的安全威胁。
以上内容由58汽车提供。如有任何买车、用车、养车、玩车相关问题,欢迎在下方表单填写您的信息,我们将第一时间与您联系,为您提供快捷、实用、全面的解决方案。
原创文章,作者:58汽车,如若转载,请注明出处:https://car.58.com/7180801/
