Vulnerabilidades críticas de segurança em um rastreador GPS popular usado para rastrear frotas de veículos por infraestrutura crítica, governos e serviços de emergência em todo o mundo podem ser usados para rastrear remotamente, parar e até mesmo assumir o controle de veículos, de acordo com pesquisadores de segurança
Seis falhas nos rastreadores GPS de veículos MiCODUS MV720 – incluindo o uso de senhas padrão simples – foram detalhado por pesquisadores de segurança cibernética da BitSight.
Mais sobre segurança tecnológica: os próximos desafios
Eles alertam que a gravidade das vulnerabilidades e o potencial de interromper os veículos na estrada significa que os rastreadores GPS MiCODUS MV720 não devem ser usados até que uma atualização de segurança seja disponibilizada. Acredita-se que existam 1,5 milhão de dispositivos MiCODUS em uso em 169 países.
VEJO: Uma estratégia vencedora para a cibersegurança (relatório especial ZDNet)
A CISA também emitiu um alerta sobre as vulnerabilidadesalertando que podem afetar o acesso aos suprimentos de combustível do veículo e ao controle do veículo, além de permitir a vigilância da localização dos veículos nos quais o dispositivo está instalado.
Apesar da gravidade das vulnerabilidades e da relativa facilidade com que elas podem ser exploradas, um patch de segurança não está disponível. Os pesquisadores da BitSight dizem que eles e a CISA fizeram repetidas tentativas de entrar em contato com o MiCODUS. O ZDNet também tentou entrar em contato com o MiCODUS, mas não recebeu uma resposta no momento da publicação.
De acordo com a BitSight, as vulnerabilidades podem permitir que invasores interrompam veículos de emergência, interrompam cadeias de suprimentos, permitam o rastreamento ilegal de civis, políticos e líderes empresariais, além de levar a implicações de segurança nacional devido ao uso de rastreadores entre os militares de muitos países.
As vulnerabilidades incluem duas que são classificadas como críticas com pontuações CVSS (Common Vulnerability Scoring System) de 9,8. A primeira delas é CVE-2022-2107uma vulnerabilidade de senha mestra codificada que permite que um invasor remoto faça login no servidor da Web, personifique o usuário e envie comandos SMS diretamente para o rastreador GPS como se fosse o usuário real.
O segundo é CVE-2022-2141, uma vulnerabilidade de autenticação imprópria que permite que invasores remotos executem comandos usando SMS sem qualquer autenticação, permitindo que o invasor obtenha o controle dos veículos.
VEJA: Não deixe que suas opções de segurança cibernética na nuvem deixem a porta aberta para hackers
Os dispositivos GPS também são fornecidos com uma senha padrão – e não há necessidade de alterá-la. A BitSight diz que sua análise mostra que muitos usuários não mudaram essa simples senha, deixando os rastreadores GPS vulneráveis a serem acessados remotamente.
Outras falhas incluem uma vulnerabilidade de script cruzado (CVE-2022-2199) que pode permitir que um invasor obtenha controle ao enganar um usuário para fazer uma solicitação e uma vulnerabilidade de desvio de autorização (CVE-2022-34150)que permite que invasores acessem dados de qualquer ID de dispositivo no banco de dados do servidor – permitindo que eles coletem informações pessoais.
Os pesquisadores também detalharam uma falha no servidor web (CVE-2022-33944), que permite que usuários não autenticados gerem relatórios do Excel sobre a atividade do dispositivo, como locais referenciados por GPS, detalhando onde um veículo parou e por quanto tempo.
De acordo com a BitSight, várias grandes organizações governamentais e outras grandes empresas estão usando rastreadores GPS MiCODUS, incluindo um governo nacional e uma agência nacional de aplicação da lei na Europa Ocidental, um sistema de transporte estatal ucraniano e um banco líder em Kyiv, um exército no sul America, uma operadora de usina nuclear, várias empresas da Fortune 50 e um estado na costa leste dos Estados Unidos.
“As vulnerabilidades podem impactar diretamente nosso mundo físico, potencialmente resultando em consequências desastrosas para indivíduos e organizações se não forem tratadas”, disse o CEO da BitSight, Stephen Harvey.
“Entender como a IoT e outras tecnologias podem aumentar o potencial de interromper a continuidade dos negócios, prejudicar a reputação de uma empresa e ameaçar a segurança humana deve ser considerado essencial”, acrescentou.
MAIS SOBRE CIBERSEGURANÇA
source – www.zdnet.com