El popular rastreador GPS de vehículos otorga a los piratas informáticos privilegios de administrador a través de SMS

Los investigadores de vulnerabilidades han encontrado problemas de seguridad en un rastreador GPS que se anuncia como presente en alrededor de 1,5 millones de vehículos en 169 países.

Un total de seis vulnerabilidades afectan al dispositivo MiCODUS MV720, que está presente en vehículos utilizados por varias empresas de Fortune 50, gobiernos de Europa, estados de EE. UU., una agencia militar en América del Sur y un operador de planta nuclear.

user-map

Los riesgos derivados de los hallazgos son significativos y afectan tanto a la privacidad como a la seguridad. Un pirata informático que comprometa un dispositivo MV720 podría usarlo para rastrear o incluso inmovilizar el vehículo que lo transporta, o para recopilar información sobre las rutas y manipular datos.

Teniendo en cuenta las funciones de muchos de los usuarios del dispositivo, los adversarios de los estados nacionales podrían aprovecharlos para realizar ataques que podrían tener implicaciones para la seguridad nacional.

Por ejemplo, los rastreadores GPS MiCODUS son utilizados por la agencia de transporte estatal ucraniana, por lo que los piratas informáticos rusos podrían apuntar a ellos para determinar las rutas de suministro, los movimientos de tropas o las rutas de patrulla, dicen los investigadores de la empresa de seguridad cibernética BitSight en un informe de hoy.

 

Detalles de vulnerabilidad

BitSight observó el modelo particular de MiCODUS porque es un dispositivo de bajo costo ($ 20) y muy popular, tiene funciones de seguimiento confiables habilitadas para celulares y podría usarse para actividades potencialmente peligrosas, como cortar el combustible.

Si bien no todas las seis vulnerabilidades encontradas por BitSight han recibido un número de identificación, se describen a continuación:

  • CVE-2022-2107 : Contraseña maestra codificada en el servidor API, que permite a un atacante remoto no autenticado obtener el control completo de cualquier rastreador MV720, realizar acciones de corte de combustible, rastrear usuarios y desactivar alarmas. (puntuación de gravedad crítica: 9,8)
gps_tracker
  • CVE-2022-2141 : esquema de autenticación roto que permite a cualquier persona enviar algunos comandos al rastreador GPS a través de SMS y ejecutarlos con privilegios de administrador. (puntuación de gravedad crítica: 9,8)
SMS-commands
  • Sin CVE asignado: contraseña predeterminada débil (123456) en todos los rastreadores MV720, sin una regla obligatoria que requiera que el usuario la cambie después de la configuración inicial del dispositivo. (puntuación de gravedad alta: 8,1)
  • CVE-2022-2199 : Cross-site scripting (XSS) reflejado en el servidor web principal, lo que permite a un atacante acceder a cuentas de usuario, interactuar con las aplicaciones y ver toda la información accesible para ese usuario. (puntuación de gravedad alta: 7,5)
  • CVE-2022-34150 : referencia de objeto directo inseguro en el servidor web principal, lo que permite a los usuarios registrados acceder a los datos desde cualquier ID de dispositivo en la base de datos del servidor. (puntuación de gravedad alta: 7,1)
  • CVE-2022-33944 : referencia de objeto directo no segura en el servidor web principal, lo que permite a los usuarios no autenticados generar informes de Excel sobre la actividad del rastreador GPS. (puntuación de gravedad media: 6,5)
information-access

BitSight ha desarrollado un código de prueba de concepto (PoC) para las cinco fallas que recibieron un número de identificación, demostrando cómo podrían explotarse en la naturaleza.

 

Divulgación y fijación

La empresa de seguridad descubrió las fallas críticas el 9 de septiembre de 2021 e intentó alertar a MiCODUS de inmediato, pero tuvo dificultades para encontrar a la persona adecuada para aceptar un informe de seguridad.

El proveedor chino del rastreador GPS fue contactado nuevamente el 1 de octubre de 2021, pero se negó a proporcionar un contacto de seguridad o ingeniería. Los intentos posteriores de contactar al proveedor en noviembre no arrojaron una respuesta.

Finalmente, el 14 de enero de 2022, BitSight compartió todos los detalles técnicos de sus hallazgos con el Departamento de Seguridad Nacional de EE. UU. y les solicitó que se comprometieran con el proveedor a través de sus canales de comunicación.

Actualmente, el rastreador GPS MiCODUS MV720 sigue siendo vulnerable a las fallas mencionadas y el proveedor no ha puesto a disposición una solución.

Como tal, se recomienda a los usuarios de estos dispositivos que los deshabiliten inmediatamente hasta que se encuentre una solución o que los reemplacen con rastreadores GPS compatibles activamente. Continuar usándolos sería un riesgo de seguridad extremo, especialmente después de esta divulgación pública.

 

Fuente: Bleepingcomputer.
Comments are closed.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies