Adam Bannister 20 Temmuz 2022, 16:18 UTC
Güncelleme: 20 Temmuz 2022, 16:22 UTC
Çinli satıcının daha geniş mimari hataları, potansiyel olarak 1,5 milyon cihazı riske atıyor
Güvenlik araştırmacıları, popüler bir otomotiv GPS izleme cihazında bulunan bir dizi sıfırıncı gün kusurunun “feci ve hatta yaşamı tehdit eden sonuçlara yol açabileceği” konusunda uyarıyor.
BitSight araştırmacısı Pedro Umbelino tarafından ortaya çıkarılan henüz yama uygulanmamış altı güvenlik açığı, Çin merkezli MiCODUS şirketi tarafından geliştirilen MV720 GPS izleyicisinin API sunucusunu, GPS izci protokolünü ve web sunucusunu etkiliyor.
Hataların başarılı bir şekilde kötüye kullanılması, saldırganların “tüm bir ticari veya acil durum araç filosunun yakıtını kesmesine”, GPS verilerini “tehlikeli otoyollardaki araçları izlemek ve aniden durdurmak” için kullanmasına veya “bireyleri takip etmesine veya engelli araçları geri göndermek için fidye ödemesi talep etmesine” neden olabilir. çalışma koşulu”, BitSight’ın araştırmasına (PDF) göre.
Büyük saldırı yüzeyi
Siber güvenlik firmasına göre, MiCODUS MV720, bir Fortune 50 enerji şirketi, Güney Amerika’da bir ulusal ordu, Batı Avrupa’da bir federal hükümet, ulusal bir yasa uygulayıcısı dahil olmak üzere en az 169 ülkedeki müşterilere hırsızlığa karşı koruma ve filo yönetimi işlevselliği sağlıyor. Batı Avrupa’da bir ajans ve bir nükleer santral operatörü.
Endişeli bir şekilde BitSight, Umbelino’nun şirketin web, iOS ve Android için bulut tabanlı cihaz yönetimi arayüzü ile ilgili güvenlik sorunlarını da ortaya çıkardığını söyledi; bu, diğer MiCODUS GPS izleme modellerinin de güvensiz olabileceği anlamına gelen bir bulgu. MiCODUS’un kendi rakamları doğruysa, bu dünya çapında 1.5 milyon potansiyel olarak savunmasız cihaza eşittir.
KAÇIRMAYIN Kimlik sağlayıcı Okta’da ‘şifre çıkarma riski’ tartışmalı
Güvenlik yamalarının henüz hayata geçmemesiyle BitSight, kullanıcıları “bir düzeltme sağlanana kadar herhangi bir MiCODUS MV720 GPS izleyiciyi kullanmayı veya devre dışı bırakmaya” çağırdı.
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı’ndan (CISA) bir güvenlik danışmanlığı, MV720 GPS izleyicide “bilinen hiçbir kamu istismarının bu güvenlik açıklarını özel olarak hedeflemediğini” söyledi.
Kimlik doğrulama sorunları
API sunucusundaki iki kritik kimlik doğrulama sorunu, her ikisi de 9,8 CVSS puanına sahip, “saldırganın SMS komutlarını GPS sahibinin cep telefonu numarasından geliyormuş gibi doğrudan GPS izleyicisine göndermesini” sağlıyor.
Bir hata, sabit kodlanmış bir ana parola (CVE-2022-2107) ile ilgilidir ve diğeri, yanlış kimlik doğrulamasından (CVE-2022-2141) kaynaklanan, potansiyel olarak ortadaki manipülatör (MitM) saldırılarını etkinleştirir.
Cihazlar ve mobil arayüz, BitSight’ın yüksek önem derecesi (CVSS 8.1) sorunu olarak sınıflandırdığı varsayılan parola ‘123456’ ile önceden yapılandırılmıştır, ancak CISA bir CVE atamayı reddetmiştir. Yanıt veren 1.000 cihaz kimliğinin %94,5’inin hala varsayılan parolaya sahip olduğunu tespit eden BitSight’a göre, “Parolayı değiştirmek için zorunlu bir kural veya herhangi bir hak talebinde bulunma işlemi yoktur”.
Cihaz kimliğinin kolayca tahmin edilebilir olması ve sunucunun, hız sınırlama gibi parola kaba kuvvet azaltmalarından yoksun görünmesiyle, saldırganlar rastgele GPS izleyicilerine kolayca erişebilir.
En son IoT güvenlik haberlerinin devamını okuyun
Bu arada, ana web sunucusunu etkileyen yüksek önem derecesine (CVSS 7.5) yansıyan siteler arası komut dosyası çalıştırma (XSS) güvenlik açığı, saldırganların “cihazın güvenliğini tamamen aşmasını” sağlayabilir.
Ana web sunucusu ayrıca, CVE-2022-34150 (CVSS 7.1) ve CVE-2022-33944 (CVSS 6.5) olarak izlenen bir çift kimliği doğrulanmış güvenli olmayan doğrudan nesne referansı güvenlik açığı içerir.
BitSight, “Bir aracı etkinleştirme veya devre dışı bırakma, hızı, rotaları izleme ve diğer özelliklerden yararlanma özelliğine sahip GPS izleyicilerini izlemek için merkezi bir gösterge panosuna sahip olmak”, yararlı olduğu kadar potansiyel olarak da tehlikelidir, önerilen BitSight.
“Ne yazık ki, MiCODUS MV720, temel güvenlik korumalarından yoksundur” ve yalnızca “sınırlı testlerle BitSight, GPS izleme ekosisteminin tüm bileşenlerini etkileyen çok sayıda kusuru ortaya çıkardı”.
BitSight, kusurları ilk olarak 9 Eylül 2021’de satıcıya açıkladığını ve başlangıçta yanıt verdikten sonra MiCODUS’un hem BitSight hem de CISA’dan gelen birden çok güncelleme talebine yanıt veremediğini söyledi. BitSight dün (19 Temmuz) bulgularını yayınladı.
BUNU DA BEĞENEBİLİRSİN Araştırmacı, Jakuzi müşteri detaylarının SmartTub web hataları tarafından ifşa edilebileceğini iddia ediyor