İşletmeler tarafından araç filolarını izlemek için ve tüketiciler tarafından hırsızlık önleme cihazı olarak kullanılan bir GPS izleme cihazında altı güvenlik açığı bulundu. Eğer istismar edilirse, saldırganların filo operasyonlarını büyük ölçüde kesintiye uğratmasına ve bireysel araçları takip etmesine izin verebilirler.
Bu, Salı günü yayınlanan bir danışma belgesinde MiCODUS MV720 cihazının hem cihazda hem de arka uç hizmetinde güvenlik açıklarına sahip olduğunu belirten siber güvenlik firması BitSight’a göre. Bunlar, ortadaki adam (MitM) saldırılarının, kimlik doğrulama atlamalarının ve konum takibinin önünü açıyor. Güvenlik açıkları, SMS istekleri yoluyla erişime izin veren sabit kodlanmış bir cihaz parolasını ve BitSight’ın bulduğu API sunucusunda varsayılan bir parolayı içeriyor.
BitSight, “Bu güvenlik açıklarından yararlanmanın feci ve hatta yaşamı tehdit eden sonuçları olabilir.” raporda yer alan durumlar. “Örneğin, bir saldırgan, ticari veya acil durum araçlarından oluşan bir filonun tamamının yakıtını kesmek için bazı güvenlik açıklarından yararlanabilir. Veya saldırgan, tehlikeli otoyollardaki araçları izlemek ve aniden durdurmak için GPS bilgisinden yararlanabilir.”
Güvenlik açıkları, komutların cihazlara gönderilmesine izin verebilecek sabit kodlanmış bir parolayı, komutlar için yönetici ayrıcalıklarını kullanma becerisini ve 123456 varsayılan parolasını içerir. uygulamanın bölümlerine doğrudan erişme yeteneği. Güvenlik açıklarından beşine Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) programı kapsamında tanımlayıcılar atanmıştır: CVE-2022-2107, CVE-2022-2141, CVE-2022-2199, CVE-2022-34150 ve CVE-2022-33944. Varsayılan parola güvenlik zayıflığı bir güvenlik açığı olarak değerlendirilmedi ve bu nedenle bir CVE tanımlayıcısı almadı.
GPS Hataları Yamasız Kaldı
BitSight’ın kurucu ortağı ve CTO’su Stephen Boyer, şirketin güvenlik açıklarından yararlanıldığına dair herhangi bir işaret görmemesine rağmen, cihazı üreten Çinli firma MiCODUS’un sorunları tartışma girişimlerine yanıt vermediğini söyledi.
BitSight, başlangıçta Eylül 2021’deki sorunlar hakkında MiCODUS ile temasa geçti ve firmaya göre, daha fazla bilgi için ilk talepten sonra şirket, sonraki iletişim girişimlerini reddetti. MiCODUS, Dark Reading’den gelen bir yorum talebine hemen yanıt vermedi.
“Ne yazık ki, sabit kodlanmış parola, tek gerçek düzeltme stratejisinin MV720 cihazını veya SIM kartı cihazdan çıkarmak olduğu anlamına gelir” diyor. “Bu bilgiyi DHS ile paylaştık” [the Department of Homeland Security] böylece uygun bir iyileştirme stratejisi geliştirebilirler.”
IoT: Tasarımdan Hala Güvenlik Yok, Yaygın Tehdit
Güvenlik açıkları, güvenlik tasarımı ve denetimlerine yeterince dikkat edilmeyen Nesnelerin İnterneti (IoT) cihazlarının oluşturduğu risklerin altını çiziyor. Bağlı cihazlar genellikle daha az güvenliğe sahiptir, ancak birçok şirketin altyapısına dağıtılır ve geleneksel bilgi teknolojisinin aksine giriş erişimi ve güç kontrolü gibi fiziksel süreçleri yönetir.
Güvenlik eksikliğinden endişe duyan ABD hükümeti, IoT cihaz güvenliği için gereksinimler belirledi.
IoT cihazları genellikle çoğu iş kullanıcısının tanıdığından çok daha yaygındır. Örneğin, BitSight araştırmasının gösterdiği gibi, GPS cihazları genel olarak en az beş Fortune 50 şirketine ait araçların yanı sıra Orta Doğu, Avrupa ve Kuzey Amerika’daki enerji kuruluşları ve hükümetlere ait araçlarda kullanılmaktadır.
BitSight, özellikle MiCODUS MV720’nin yaygınlığını belirleyemedi, ancak MiCODUS’un dünya çapında 1,5 milyon cihazın kullanıldığını iddia ettiğini kaydetti. Ayrıca BitSight, dünya çapında 169 ülkeden MiCODUS API sunucusuna yaklaşık 2,4 milyon bağlantı gördü. MiCODUS MV720, çevrimiçi olarak 20 dolara satılan temel bir modeldir, ancak diğer modeller, IoT üreticisinin kurulu tabanının bir kısmını veya hatta çoğunu oluşturabilir.
BitSight raporu, cihazlar için iki geniş kullanım durumunun mevcut olduğunu belirtiyor. Bazı ülkelerde veriler, cihazların araç filolarını yönetmek için kullanıldığını gösteriyor. Bununla birlikte, diğer ülkelerde, kişi başına düşen çok sayıda bireysel bağlantı, bireylerin cihazları hırsızlığa karşı koruma uygulamaları için kullandığını göstermektedir.
BitSight, danışma belgesinde “Endonezya’nın MiCODUS sunucusuyla iletişim kuran birçok benzersiz IP adresi var, ancak çoğunlukla GPS izleyici bağlantı noktasında” diyor. “Bu, filo yönetimi senaryosunda tipik olan, çok sayıda cihaza sahip az sayıda kullanıcı olduğunu gösterebilir. Karşılaştırıldığında, Meksika’nın web ve mobil bağlantı noktalarına çok yüksek sayıda bağlantısı vardır ve bu da bireyleri belirtebilir. GPS izleyiciyi hırsızlık önleme cihazı olarak kullanıyor.”
Şirket, Meksika, Rusya ve Özbekistan’ın en fazla bireysel kullanıcıya sahip ülkeler olduğunu tahmin ediyor. Rusya, Fas ve Şili, en fazla sayıda gerçek cihaza sahip görünüyor.