漏洞研究人員發(fā)現了有關于GPS追蹤器MiCODUS MV720的安全問題，該追蹤器廣泛應用在世界50強企業(yè)、歐洲政府、美國各州、南美軍事機構和核電站運營商等，共計169個國家約150萬車輛中。

MiCODUS MV720用戶地圖（BitSight）

此次發(fā)現MV720設備存在共有6個漏洞，侵入該設備的黑客可以利用它來追蹤甚至定位使用該設備的車輛，也可以通過該設備收集有關路線的信息，并操縱數據?？紤]到該設備的許多用戶存在軍政背景，黑客的攻擊很有可能會影響國家安全。

例如，網絡安全公司BitSight的研究人員在報告中指出，國有的烏克蘭運輸機構就使用了MiCODUS GPS追蹤器，因此俄羅斯黑客可以針對它們來確定供應路線、部隊動向或巡邏路線。

漏洞細節(jié)

雖然不是所有BitSight發(fā)現的六個漏洞都獲得了識別號，但各個漏洞的具體細節(jié)如下：

• CVE-2022-2107：API服務器上的硬編碼主密碼，允許未經認證的遠程攻擊者獲得對任何MV720追蹤器的完全控制，執(zhí)行切斷燃料行動，追蹤用戶，并解除警報。(嚴重程度得分：9.8)

瞄準脆弱的API端點（BitSight）

• CVE-2022-2141: 破解的認證方案，允許任何人通過短信向GPS追蹤器發(fā)送一些命令，并以管理員權限運行。(嚴重程度評分：9.8)

支持管理員用戶的短信命令 (BitSight)

• 沒有指定的CVE：所有MV720追蹤器上的默認密碼（123456）都很弱，沒有強制規(guī)則要求用戶在初始設備設置后進行更改。(嚴重程度高分：8.1)
• CVE-2022-2199：反映在主網絡服務器上的跨站腳本（XSS），允許攻擊者訪問用戶賬戶，與應用程序互動，并查看該用戶可訪問的所有信息。(嚴重程度高分: 7.5)
• CVE-2022-34150: 主網絡服務器上不安全的直接對象引用，允許登錄的用戶訪問服務器數據庫中任何設備ID的數據。(嚴重程度高分: 7.1)
• CVE-2022-33944: 主網絡服務器上不安全的直接對象引用，允許未經認證的用戶生成關于GPS跟蹤器活動的Excel報告。(中等嚴重程度評分：6.5)

訪問位置和移動信息（BitSight）。

BitSight已經為獲得識別號的五個缺陷開發(fā)了概念驗證（PoCs）代碼，并展示了它們如何在野外被利用。

披露和修復

BitSight在2021年9月9日發(fā)現了這些關鍵缺陷，并試圖立即提醒MiCODUS，但遇到了困難，找不到合適的人接受安全報告。

2021年10月1日再次聯系了GPS追蹤器的中國供應商，但供應商拒絕提供安全或工程聯系人。隨后在11月試圖聯系該供應商，但沒有得到回應。

最后，在2022年1月14日，BitSight與美國國土安全部分享了其發(fā)現的所有技術細節(jié)，并要求他們與該供應商接觸。

目前，MiCODUS MV720 GPS追蹤器仍然容易受到上述缺陷的影響，而且供應商還沒有提供修復方案。因此，BitSight建議在修復方案出臺前，使用MiCODUS MV720 GPS追蹤器的用戶應該立即禁用這些設備，并使用其他的GPS追蹤器進行替代。繼續(xù)使用MiCODUS MV720 GPS追蹤器將是一個極端的安全風險，尤其是在這些漏洞被公開披露之后。