流行的 GPS 设备中未修补的漏洞可能允许攻击者干扰和跟踪车辆

安全研究人员表示,一种流行的 GPS 设备中未修补的缺陷可能允许攻击者干扰和跟踪车辆。 警告. 安全公司 BitSight 描述了 MiCODUS MV720 GPS 跟踪器中的六个“严重”漏洞,这是一种用于车队管理和防盗的流行设备。

通过 BitSight 研究 警告 美国国土安全部网络安全和基础设施安全管理局 (CISA) 将 CVE 引用分配给发现的五个漏洞:CVE-2022-2107、CVE-2022-2141、CVE-2022-2199、CVE-2022-34150 和 CVE- 2022-33944。

研究人员表示,MV720 是一款有线 GPS 跟踪器,允许对设备进行外部物理控制,利用此漏洞可能会产生“灾难性甚至危及生命的后果”。

BitSight 表示,它试图就该漏洞与 MiCODUS 联系,并最终与 CISA 分享了其调查结果。 CISA 与供应商合作的努力也没有成功。

在未修补设备带来的威胁中,BitSight 描述了攻击者如何利用一些漏洞来减少商用或应急车辆的燃料。

在另一个例子中,研究人员描述了对手如何使用 GPS 信息来监控危险高速公路上的车辆并突然停车。 一位 BitSight 研究人员表示,“有很多情况会威胁到人的生命、财产损失、隐私泄露和国家安全。”

据 MiCODUS 称,目前有 150 万台 GPS 跟踪设备在使用中。 BitSight 发现了 169 个国家的政府机构、军事和执法机构等组织以及航空航天、能源、工程、制造和运输等行业的公司使用的 MiCODUS 设备。

BitSight 表示,在车辆中使用 MV720 设备的组织和个人处于危险之中。 “考虑到发现的漏洞的影响和严重性,我们强烈建议用户立即停止或禁用 MiCODUS MV720 GPS Tracker,直到修复可用。”

网络威胁研究总监 Kev Breen 表示,这个漏洞没有任何“新颖或独特”之处。 沉浸式实验室. “不幸的是,其他物联网和运营技术设备中也存在相同类型的漏洞。 硬编码凭证; 跨站脚本 漏洞和 绕过身份验证 这些缺陷都很常见。”

研究人员建议在修复可用之前禁用设备,但“如果它在生产中,这将需要很长时间,”Steve Gyurindak 说。, 首席技术官,网络和运营技术 阿米斯. “具有适当安全控制的关键系统的车载系统隔离(也称为网络分段)将有助于防止灾难性影响。”

信息安全 杂志联系 MiCODUS 对 BitSight 发现的漏洞发表评论。

Related Posts

发表评论

您的电子邮箱地址不会被公开。