圖片來源: 

MiCODUS官方網站

美國網路安全暨基礎架構安全署(CISA)本周針對一款受歡迎的GPS定位追蹤器發布安全公告,警告6項漏洞可致車輛位置曝光,甚至讓駭客控制油料和車輛控制系統的風險。

安全廠商BitSight研究人員Pedro Umbelino、Dan Dahlberg和 Jacob Olcott在中國深圳業者MiCODUS出品的GPS迷你追蹤器裝置MiCODUS MV720發現6個重大漏洞。這款裝置據信已出貨150萬臺,遍及169國,用戶涵括個人消費者、政府、軍隊、警方及企業。BitSight指出,這款裝置的使用者至少包括財星50大能源、石油及天然氣公司、一家航太公司、專家服務、製造業集團和一家科技業者、南美一國國軍、西歐一國執法機關、核電廠營運商、一中東政府、一北美政府部門及美國東岸一個州政府。

這6項漏洞包含軟體使用寫死(hard-coded)的用戶憑證、驗證不當、跨站腳本攻擊(Cross-site Scripting)、以及經由用戶控制的金鑰繞過授權檢查。細部而言,CVE-2022-2107和 CVE-2022-2141皆為風險值9.8的重大漏洞,前者讓攻擊者登入Web伺服器,假冒用戶傳送SMS指令到GPS追蹤器,後者則讓攻擊者不需密碼傳送SMS指令給GPS追蹤器。CVE-2022-2199為高風險的跨站腳本攻擊,攻擊者可誘使用戶發出呼叫,以取得車輛系統控制。

CVE-2022-34150和CVE-2022-33944則是GPS追蹤器端點上Web伺服器上的不安全直接物件參考(Insecure Direct Object References,IDOR)漏洞,對POST呼叫中的Device ID參數驗證不足,因而接受任意Device ID的呼叫,兩者分別為高度及中度風險漏洞。

安全廠商相信,這些漏洞讓MV 720可能遭到多種型態攻擊,包括中間人攻擊、驗證繞過、滲透式監控。成功的攻擊可讓攻擊者接管任何MV 720 GPS追蹤器、存取位置、路線資訊、或傳送切斷油料指令、關閉防盜等多種功能。

此外研究人員也發現,烏克蘭是歐洲國家中擁有最多MiCODUS GPS追蹤器的國家。國營運輸系統及基輔一家大銀行都是MiCODUS用戶。研究人員甚至貼出一個顯示MiCODUS用戶位置的全球地圖。

圖片來源/BitSight

CISA表示,這家廠商尚未提供軟體更新來緩解這些漏洞。CISA建議用戶減少控制系統裝置對外網曝露、儘可能從防火牆後定位控制系統及遠端裝置,且應和公司網路切開。需要開啟遠端存取時,應使用VPN等安全連線方式。此外CISA也提醒用戶不要點選不明連結或郵件附件,以免遭社交工程攻擊,而讓駭客取得車輛控制權。

熱門新聞

Advertisement