GPS-jälgimisseadmes, mida ettevõtted kasutavad sõidukiparkide jälgimiseks ja tarbijad vargusvastase seadmena, on leitud kuus turvaauku. Kui neid kasutatakse, võivad need lubada ründajatel laialdaselt häirida laevastiku tegevust ja jälgida üksikuid sõidukeid.
Nii väidab küberturbefirma BitSight, kes teatas teisipäevases nõuandes, et seadmel MiCODUS MV720 on nii seadmes kui ka taustateenuses haavatavusi. Need sillutavad teed man-in-the-middle (MitM) rünnakutele, autentimisest möödasõitudele ja asukoha jälgimine. Haavatavuste hulka kuulub kõvakodeeritud seadme parool, mis võimaldab juurdepääsu SMS-päringute kaudu, ja API serveri vaikeparool, leidis BitSight.
"Nende haavatavuste ärakasutamisel võib olla katastroofiline ja isegi eluohtlik tagajärg," BitSight märgib aruandes. "Näiteks võib ründaja mõnda turvaauku ära kasutada, et vähendada kütust tervele kommerts- või hädaabisõidukitele. Või võib ründaja kasutada GPS-teavet, et jälgida ja järsult peatada sõidukeid ohtlikel maanteedel.
Turvaaukude hulka kuuluvad kõvakodeeritud parool, mis võimaldab seadmetele käske saata, võimalus kasutada käskude jaoks administraatoriõigusi ja vaikeparool 123456. Väiksema raskusastmega vead hõlmavad kajastuvat saidiülese skriptimise (XSS) probleemi ja võimalus rakenduse osadele otse juurde pääseda. Viiele haavatavusele on programmis Common Vulnerabilities and Exposures (CVE) määratud identifikaatorid: CVE-2022-2107, CVE-2022-2141, CVE-2022-2199, CVE-2022-34150 ja CVE-2022-33944. Vaikimisi parooli turvanõrkust ei peetud haavatavaks ja seetõttu ei saanud see CVE-identifikaatorit.
GPS-i vead jäävad parandamata
Kuigi ettevõte ei ole täheldanud mingeid märke haavatavuste ärakasutamise kohta, ei ole seadet tootev Hiina ettevõte MiCODUS reageerinud katsetele probleeme arutada, ütleb Stephen Boyer, BitSighti kaasasutaja ja CTO.
BitSight võttis MiCODUSega algselt ühendust probleemide osas 2021. aasta septembris ja pärast esialgset lisateabetaotlust keeldus ettevõte ettevõtte sõnul järgmistest suhtlemiskatsetest. MiCODUS ei vastanud kohe Dark Readingi kommentaaritaotlusele.
"Kahjuks tähendab kõvakodeeritud parool, et ainus tõeline parandusstrateegia on MV720 seadme eemaldamine või SIM-kaardi eemaldamine seadmest," ütleb ta. "Jagasime seda teavet sisejulgeolekuministeeriumiga (DHS), et nad saaksid välja töötada sobiva heastamisstrateegia."
IoT: endiselt puudub kavandatud turvalisus, laialt levinud oht
Haavatavused rõhutavad riske, mida põhjustavad asjade Interneti (IoT) seadmed, mis ei ole saanud kasu piisavast tähelepanust turbekujundusele ja audititele. Ühendatud seadmetel on tavaliselt vähem turvalisust, kuid need on jaotatud paljude ettevõtete infrastruktuuris ja erinevalt traditsioonilisest infotehnoloogiast käsitlevad füüsilisi protsesse, nagu sisenemine ja toitekontroll.
USA valitsus on mures turvalisuse puudumise pärast kehtestatud nõuded asjade Interneti-seadmete turvalisusele.
IoT-seadmed on sageli ka palju laiemalt levinud, kui enamik ärikasutajaid tunnistab. Nagu näitas näiteks BitSighti uuring, kasutatakse GPS-seadmeid üldiselt sõidukites, mis kuuluvad vähemalt viiele Fortune 50 ettevõttele, samuti Lähis-Ida, Euroopa ja Põhja-Ameerika energiaettevõtetele ja valitsustele.
BitSight ei suutnud MiCODUS MV720 levimust konkreetselt kindlaks teha, kuid märkis, et MiCODUS väidab, et maailmas kasutatakse 1.5 miljonit seadet. Lisaks nägi BitSight ligi 2.4 miljonit ühendust MiCODUS API serveriga 169 riigist üle maailma. MiCODUS MV720 on põhimudel, mida müüakse veebis 20 dollari eest, kuid teised mudelid võivad moodustada osa või isegi suurema osa asjade Interneti tootja installitud baasist.
BitSighti aruanne märgib, et seadmete jaoks on kaks laialdast kasutusjuhtu. Mõnedes riikides näitavad andmed, et seadmeid kasutatakse sõidukiparkide haldamiseks. Kuid teistes riikides viitab üksikute ühenduste suur arv elaniku kohta sellele, et üksikisikud kasutavad seadmeid vargusvastaste rakenduste jaoks.
"Indoneesial on palju unikaalseid IP-aadresse, mis suhtlevad MiCODUS-serveriga, kuid enamasti GPS-jälgija pordis, " ütleb BitSight nõuandes. "See võib viidata väikesele arvule kasutajatele, kellel on palju seadmeid, mis on tüüpiline sõidukipargi haldamise stsenaariumi korral. Võrdluseks, Mehhikos on väga palju ühendusi veebi- ja mobiiliportidega, mis võib viidata sellele, et üksikisikud kasutavad GPS-jälgijat vargusvastase seadmena.
Ettevõtte hinnangul on kõige rohkem üksikuid kasutajaid Mehhiko, Venemaa ja Usbekistan. Kõige rohkem tegelikke seadmeid näib olevat Venemaal, Marokos ja Tšiilis.
