Las fallas críticas en el rastreador GPS permiten hacks 'desastrosos' y 'peligrosos para la vida'
Las fallas críticas en el rastreador GPS permiten hacks 'desastrosos' y 'peligrosos para la vida'
Expand
Una empresa de seguridad y el gobierno de los EE. UU. aconsejan al público que deje de usar de inmediato un popular dispositivo de rastreo GPS o al menos minimice la exposición a él, citando una serie de vulnerabilidades que permiten a los piratas informáticos desactivar de forma remota los automóviles mientras se mueven. , realizar un seguimiento del historial de ubicaciones, desactivar alarmas y reducir el consumo de combustible.
Una evaluación realizada por la firma de seguridad BitSight ha revelado seis vulnerabilidades en el Micodus MV720, un rastreador GPS que se vende al por menor por alrededor de $20 y está ampliamente disponible. Los investigadores que realizaron la evaluación creen que las mismas vulnerabilidades críticas están presentes en otros modelos de seguimiento de Micodus. El fabricante con sede en China dice que 1,5 millones de sus dispositivos de seguimiento se implementan en 420.000 clientes. BitSight descubrió que el dispositivo estaba en uso en 169 países, con clientes que incluían empresas gubernamentales, militares, policiales y aeroespaciales, de envío y de fabricación.
BitSight descubrió lo que llamó seis vulnerabilidades "graves" en el dispositivo que permiten una serie de posibles ataques. Una de las deficiencias es el uso de comunicaciones HTTP sin cifrar que permiten a los atacantes remotos realizar ataques de adversario en el medio que interceptan o modifican las solicitudes enviadas entre la aplicación móvil y los servidores de soporte. Otras vulnerabilidades incluyen un mecanismo de autenticación defectuoso en la aplicación móvil que puede permitir a los atacantes acceder a la clave codificada para bloquear los rastreadores y la capacidad de usar una dirección IP personalizada que permite a los piratas monitorear y controlar todas las comunicaciones hacia y desde el dispositivo.< /p>
La empresa de seguridad dijo que contactó a Micodus por primera vez en septiembre para notificar a los funcionarios de la empresa sobre las vulnerabilidades. BitSight y CISA finalmente publicaron los hallazgos el martes después de meses de intentar comprometerse en privado con el fabricante. En el momento de escribir este artículo, todas las vulnerabilidades siguen sin parchear ni mitigar.
"BitSight recomienda que las personas y las organizaciones que actualmente usan dispositivos de rastreo GPS MiCODUS MV720 deshabiliten estos dispositivos hasta que haya una solución disponible", escribieron los investigadores. "Las organizaciones que utilizan cualquier rastreador GPS MiCODUS, independientemente del modelo, deben ser alertadas sobre la inseguridad con respecto a la arquitectura de su sistema, que puede poner en riesgo cualquier dispositivo".
La Administración de Seguridad de Infraestructura y Ciberseguridad de EE. UU. también advierte sobre los riesgos que plantean los errores de seguridad críticos.
"La explotación exitosa de estas vulnerabilidades podría permitir que un atacante controle cualquier rastreador GPS MV720, brindando acceso a la ubicación, rutas, comandos de corte de combustible y desarmando varias funciones (por ejemplo, alarmas)", escribieron los funcionarios de la agencia.
>
Las vulnerabilidades incluyen una identificada como CVE-2022-2107, una contraseña codificada que tiene una clasificación de gravedad de 9,8 de 10 posibles. Los rastreadores Micodus lo usan como contraseña principal. Los piratas informáticos que obtengan esta contraseña pueden usarla para iniciar sesión en el servidor web, hacerse pasar por el usuario legítimo y enviar comandos al rastreador a través de comunicaciones por SMS que parecen provenir del número de teléfono móvil GPS del usuario. Con este control, los piratas informáticos pueden:
• Obtenga el control total de cualquier rastreador GPS
• Acceda a información de ubicación, rutas, geocercas y ubicaciones de seguimiento en tiempo real
• Reducir el combustible del vehículo
• Deshabilitar alarmas y otras funciones
Una vulnerabilidad separada, CVE-2022-2141, provoca un estado de interrupción de autenticación en el protocolo utilizado por el servidor Micodus y el rastreador GPS para comunicarse. Otras vulnerabilidades incluyen una contraseña codificada utilizada por el servidor Micodus, un error de script entre sitios reflejado en el servidor web y una referencia de objeto directo inseguro en el servidor web. Otras designaciones de seguimiento incluyen CVE-2022-2199, CVE-2022-34150, CVE-2022-33944.
"La explotación de estas vulnerabilidades podría tener consecuencias desastrosas o incluso fatales", escribieron los investigadores de BitSight. "Por ejemplo, un atacante podría explotar algunas de las vulnerabilidades para cortar el suministro de combustible a toda una flota de vehículos comerciales o de emergencia. O bien, el atacante podría explotar la información del GPS para monitorear y detener abruptamente los vehículos en carreteras peligrosas. Los atacantes podrían optar por rastrear subrepticiamente individuos o exigir pagos de rescate para restaurar los vehículos averiados para que funcionen...
Una empresa de seguridad y el gobierno de los EE. UU. aconsejan al público que deje de usar de inmediato un popular dispositivo de rastreo GPS o al menos minimice la exposición a él, citando una serie de vulnerabilidades que permiten a los piratas informáticos desactivar de forma remota los automóviles mientras se mueven. , realizar un seguimiento del historial de ubicaciones, desactivar alarmas y reducir el consumo de combustible.
Una evaluación realizada por la firma de seguridad BitSight ha revelado seis vulnerabilidades en el Micodus MV720, un rastreador GPS que se vende al por menor por alrededor de $20 y está ampliamente disponible. Los investigadores que realizaron la evaluación creen que las mismas vulnerabilidades críticas están presentes en otros modelos de seguimiento de Micodus. El fabricante con sede en China dice que 1,5 millones de sus dispositivos de seguimiento se implementan en 420.000 clientes. BitSight descubrió que el dispositivo estaba en uso en 169 países, con clientes que incluían empresas gubernamentales, militares, policiales y aeroespaciales, de envío y de fabricación.
BitSight descubrió lo que llamó seis vulnerabilidades "graves" en el dispositivo que permiten una serie de posibles ataques. Una de las deficiencias es el uso de comunicaciones HTTP sin cifrar que permiten a los atacantes remotos realizar ataques de adversario en el medio que interceptan o modifican las solicitudes enviadas entre la aplicación móvil y los servidores de soporte. Otras vulnerabilidades incluyen un mecanismo de autenticación defectuoso en la aplicación móvil que puede permitir a los atacantes acceder a la clave codificada para bloquear los rastreadores y la capacidad de usar una dirección IP personalizada que permite a los piratas monitorear y controlar todas las comunicaciones hacia y desde el dispositivo.< /p>
La empresa de seguridad dijo que contactó a Micodus por primera vez en septiembre para notificar a los funcionarios de la empresa sobre las vulnerabilidades. BitSight y CISA finalmente publicaron los hallazgos el martes después de meses de intentar comprometerse en privado con el fabricante. En el momento de escribir este artículo, todas las vulnerabilidades siguen sin parchear ni mitigar.
"BitSight recomienda que las personas y las organizaciones que actualmente usan dispositivos de rastreo GPS MiCODUS MV720 deshabiliten estos dispositivos hasta que haya una solución disponible", escribieron los investigadores. "Las organizaciones que utilizan cualquier rastreador GPS MiCODUS, independientemente del modelo, deben ser alertadas sobre la inseguridad con respecto a la arquitectura de su sistema, que puede poner en riesgo cualquier dispositivo".
La Administración de Seguridad de Infraestructura y Ciberseguridad de EE. UU. también advierte sobre los riesgos que plantean los errores de seguridad críticos.
"La explotación exitosa de estas vulnerabilidades podría permitir que un atacante controle cualquier rastreador GPS MV720, brindando acceso a la ubicación, rutas, comandos de corte de combustible y desarmando varias funciones (por ejemplo, alarmas)", escribieron los funcionarios de la agencia.
>
Las vulnerabilidades incluyen una identificada como CVE-2022-2107, una contraseña codificada que tiene una clasificación de gravedad de 9,8 de 10 posibles. Los rastreadores Micodus lo usan como contraseña principal. Los piratas informáticos que obtengan esta contraseña pueden usarla para iniciar sesión en el servidor web, hacerse pasar por el usuario legítimo y enviar comandos al rastreador a través de comunicaciones por SMS que parecen provenir del número de teléfono móvil GPS del usuario. Con este control, los piratas informáticos pueden:
• Obtenga el control total de cualquier rastreador GPS
• Acceda a información de ubicación, rutas, geocercas y ubicaciones de seguimiento en tiempo real
• Reducir el combustible del vehículo
• Deshabilitar alarmas y otras funciones
Una vulnerabilidad separada, CVE-2022-2141, provoca un estado de interrupción de autenticación en el protocolo utilizado por el servidor Micodus y el rastreador GPS para comunicarse. Otras vulnerabilidades incluyen una contraseña codificada utilizada por el servidor Micodus, un error de script entre sitios reflejado en el servidor web y una referencia de objeto directo inseguro en el servidor web. Otras designaciones de seguimiento incluyen CVE-2022-2199, CVE-2022-34150, CVE-2022-33944.
"La explotación de estas vulnerabilidades podría tener consecuencias desastrosas o incluso fatales", escribieron los investigadores de BitSight. "Por ejemplo, un atacante podría explotar algunas de las vulnerabilidades para cortar el suministro de combustible a toda una flota de vehículos comerciales o de emergencia. O bien, el atacante podría explotar la información del GPS para monitorear y detener abruptamente los vehículos en carreteras peligrosas. Los atacantes podrían optar por rastrear subrepticiamente individuos o exigir pagos de rescate para restaurar los vehículos averiados para que funcionen...
Expand
