Les failles de sécurité des trackers GPS mettent les flottes mondiales en danger • The Register
5 min readUne poignée de vulnérabilités, dont certaines critiques, dans les dispositifs de suivi GPS MiCODUS pourraient permettre aux criminels de perturber les opérations de la flotte et d’espionner les itinéraires, ou même de contrôler à length ou de couper le carburant des véhicules, selon la CISA. Et il n’y a pas de correctif pour ces failles de sécurité.
Deux des bogues ont reçu une cote de gravité CVSS de 9,8 sur 10. Ils peuvent être exploités pour envoyer des commandes à un dispositif de suivi à exécuter sans authentification significative les autres impliquent un certain degré d’exploitation à length.
“L’exploitation réussie de ces vulnérabilités pourrait permettre à un attaquant de contrôler n’importe quel tracker GPS MV720, en donnant accès à l’emplacement, aux itinéraires, aux commandes de coupure de carburant et au désarmement de diverses fonctionnalités (par exemple, les alarmes)”, a déclaré l’agence gouvernementale américaine. averti dans un avis publié mardi.
Lundi, le fabricant de gizmos, basé en Chine, n’avait fourni aucune mise à jour ou correctif pour corriger les défauts, a ajouté la CISA. L’agence a également recommandé aux propriétaires et exploitants de flottes de prendre des “mesures défensives” pour minimiser les risques.
Cela implique apparemment de s’assurer, dans la mesure du attainable, que ces traceurs GPS sont pas available à partir d’Internet ou de réseaux auxquels les mécréants peuvent accéder. Et lorsque le contrôle à length est requis, CISA recommande d’utiliser des VPN ou d’autres méthodes sécurisées pour contrôler l’accès. Cela ressemble à un conseil générique de la CISA, alors peut-être qu’une véritable solution de contournement serait : arrêtez complètement d’utiliser les appareils GPS.
Les chercheurs en sécurité de Bitsight Pedro Umbelino, Dan Dahlberg et Jacob Olcott ont découvert les six vulnérabilités et les ont signalées à la CISA après avoir tenté depuis septembre 2021 de partager les découvertes avec MiCODUS.
“Après avoir raisonnablement épuisé toutes les options pour atteindre MiCODUS, BitSight et CISA ont déterminé que ces vulnérabilités justifiaient une divulgation publique”, selon un rapport BitSight [PDF] publié mardi.
Environ 1,5 million de consommateurs et d’organisations utilisent les trackers GPS, ont déclaré les chercheurs. Cela couvre 169 pays et comprend des agences gouvernementales, des militaires, des forces de l’ordre, des sociétés aérospatiales, énergétiques, d’ingénierie, de fabrication et de transport, ont-ils ajouté.
“L’exploitation de ces vulnérabilités pourrait avoir des conséquences désastreuses, voire mortelles”, ont affirmé les auteurs du rapport, ajoutant :
Pour ses recherches, l’équipe BitSight a utilisé le modèle MV720, qui, selon elle, est la conception la moins chère de l’entreprise avec une fonctionnalité de coupure de carburant. L’appareil est un tracker cellulaire qui utilise une carte SIM pour transmettre des mises à jour d’état et de localisation aux serveurs de prise en cost et recevoir des commandes SMS.
Voici un aperçu des vulnérabilités :
CVE-2022-2107 est une vulnérabilité de mot de passe codée en dur dans le serveur API MiCODUS. Il a reçu un score CVSS de 9,8 et permet à un attaquant distant d’utiliser un mot de passe principal codé en dur pour se connecter au serveur Web et envoyer des commandes SMS au tracker GPS d’une cible.
Ceux-ci sembleraient provenir du numéro de portable du propriétaire du GPS et pourraient permettre à un mécréant de prendre le contrôle de n’importe quel tracker, d’accéder et de suivre l’emplacement du véhicule en temps réel, de couper le carburant et de désarmer les alarmes ou d’autres fonctionnalités fournies par le gadget.
CVE-2022-2141, en raison d’une authentification cassée, a également reçu un score CVSS de 9,8. Cette faille pourrait permettre à un attaquant d’envoyer des commandes SMS au dispositif de suivi sans authentification.
Une faille de mot de passe par défaut, qui est détaillée dans le rapport de BitSight mais qui n’a pas reçu de CVE par CISA, “représente toujours une grave vulnérabilité”, selon le fournisseur de sécurité. Il n’y a pas de règle obligatoire selon laquelle les utilisateurs changent le mot de passe par défaut, qui est livré sous la forme “123456”, sur les appareils, ce qui permet aux criminels de deviner ou d’assumer assez facilement le mot de passe d’un tracker.
CVE-2022-2199, une vulnérabilité de script intersite, existe dans le serveur World wide web principal et pourrait permettre à un attaquant de compromettre complètement un appareil en incitant son utilisateur à faire une demande, par exemple en envoyant un lien malveillant dans un e-mail, un tweet ou un autre concept. . Il a reçu une cote CVSS de 7,5
Le serveur Website principal présente une vulnérabilité de référence d’objet immediate non sécurisée, suivie comme CVE-2022-34150, sur les ID d’appareil de level de terminaison et de paramètre. Cela signifie qu’ils acceptent des ID de périphérique arbitraires sans autre vérification.
“Dans ce cas, il est probable d’accéder aux données à partir de n’importe quel ID d’appareil dans la base de données du serveur, quel que soit l’utilisateur connecté. Des informations supplémentaires susceptibles d’aggraver une attaque pourraient être disponibles, telles que les numéros de plaque d’immatriculation, les numéros de carte SIM, les chiffres », a expliqué BitSight. Il a reçu une cote CVSS de 7,1.
Et enfin, CVE-2022-33944 est une autre vulnérabilité de référence d’objet directe non sécurisée sur le serveur Web principal. Cette faille, sur le point de terminaison et le paramètre Submit “Product ID”, accepte des ID de périphérique arbitraires et a reçu un rating de gravité de 6,5.
“BitSight recommande aux personnes et aux organisations qui utilisent actuellement les appareils de suivi GPS MiCODUS MV720 de désactiver ces appareils jusqu’à ce qu’un correctif soit disponible”, conclut le rapport. “Les organisations utilisant n’importe quel tracker GPS MiCODUS, quel que soit le modèle, doivent être alertées de l’insécurité concernant son architecture système, qui peut mettre tout appareil en hazard.” ®
