Неисправленные ошибки безопасности GPS-трекера угрожают 1.5 миллионам транспортных средств сбоями

Шесть уязвимостей были обнаружены в устройстве GPS-слежения, используемом предприятиями для мониторинга автопарков, а также потребителями в качестве противоугонного устройства. В случае их использования злоумышленники могут серьезно нарушить работу автопарка и отслеживать отдельные транспортные средства.

Это согласно данным компании BitSight, занимающейся кибербезопасностью, которая заявила во вторник, что устройство MiCODUS MV720 имеет уязвимости как в самом устройстве, так и во внутренней службе. Это открывает путь для атак «человек посередине» (MitM), обхода аутентификации и отслеживание местоположения. BitSight обнаружил, что уязвимости включают жестко закодированный пароль устройства, который обеспечивает доступ через SMS-запросы, и пароль по умолчанию на сервере API.

«Эксплуатация этих уязвимостей может иметь катастрофические и даже опасные для жизни последствия», — BitSight. говорится в отчете. «Например, злоумышленник может воспользоваться некоторыми уязвимостями, чтобы отключить топливо для всего парка коммерческих или аварийных автомобилей. Или злоумышленник может использовать информацию GPS для отслеживания и резкой остановки транспортных средств на опасных автомагистралях».

Уязвимости включают жестко запрограммированный пароль, который позволяет отправлять команды на устройства, возможность использовать права администратора для команд и пароль по умолчанию 123456. К недостаткам меньшей серьезности относятся проблема отраженного межсайтового скриптинга (XSS) и возможность прямого доступа к частям приложения. Пяти уязвимостям присвоены идентификаторы в рамках программы Common Vulnerabilities and Exposures (CVE): CVE-2022-2107, CVE-2022-2141, CVE-2022-2199, CVE-2022-34150 и CVE-2022-33944. Слабость безопасности пароля по умолчанию не считалась уязвимостью и поэтому не получила идентификатор CVE.

Ошибки GPS остаются неисправленными

Хотя компания не заметила никаких признаков использования уязвимостей, китайская фирма MiCODUS, производящая устройство, не ответила на попытки обсудить проблемы, говорит Стивен Бойер, соучредитель и технический директор BitSight.

По словам компании, BitSight первоначально связалась с MiCODUS по поводу проблем в сентябре 2021 года, и после первоначального запроса дополнительной информации компания отказалась от последующих попыток связаться. MiCODUS не сразу ответил на запрос Dark Reading о комментариях.

«К сожалению, жестко запрограммированный пароль означает, что единственной реальной стратегией исправления является удаление устройства MV720 или удаление SIM-карты из устройства», — говорит он. «Мы поделились этой информацией с DHS [Министерством внутренней безопасности], чтобы они могли разработать соответствующую стратегию исправления ситуации».

Интернет вещей: по-прежнему нет безопасности по задумке, широко распространенная угроза

Уязвимости подчеркивают риски, создаваемые устройствами Интернета вещей (IoT), которым не было уделено должного внимания при разработке безопасности и аудите. Подключенные устройства обычно имеют меньшую безопасность, но распределены по инфраструктуре многих компаний и управляют физическими процессами, такими как входной доступ и управление питанием, в отличие от традиционных информационных технологий. 

Обеспокоенное отсутствием безопасности, правительство США установленные требования к безопасности устройств IoT.

Устройства Интернета вещей зачастую гораздо более распространены, чем думает большинство бизнес-пользователей. Например, как показало исследование BitSight, устройства GPS в целом используются в транспортных средствах, принадлежащих как минимум пяти компаниям из списка Fortune 50, а также энергетическим компаниям и правительствам на Ближнем Востоке, в Европе и Северной Америке.

BitSight не смог конкретно определить распространенность MiCODUS MV720, но отметил, что MiCODUS утверждает, что во всем мире используются 1.5 миллиона устройств. Кроме того, BitSight зарегистрировал почти 2.4 миллиона подключений к серверу API MiCODUS из 169 стран мира. MiCODUS MV720 — это базовая модель, которая продается в Интернете за 20 долларов, но на долю других моделей может приходиться часть или даже большая часть установленной базы производителя Интернета вещей.

В отчете BitSight отмечается, что существуют два широких варианта использования этих устройств. Данные показывают, что в некоторых странах эти устройства используются для управления парком транспортных средств. Однако в других странах большое количество индивидуальных подключений на душу населения позволяет предположить, что люди используют устройства для защиты от краж.

«В Индонезии есть много уникальных IP-адресов, связывающихся с сервером MiCODUS, но в основном через порт GPS-трекера», — говорится в сообщении BitSight. «Это может означать, что существует небольшое количество пользователей с большим количеством устройств, что типично для сценария управления автопарком. Для сравнения, в Мексике очень большое количество подключений к Интернету и мобильным портам, что может указывать на то, что люди используют GPS-трекер в качестве устройства защиты от краж».

По оценкам компании, Мексика, Россия и Узбекистан — страны с наибольшим количеством индивидуальных пользователей. Россия, Марокко и Чили, похоже, имеют наибольшее количество реальных устройств.