Dünya çapında milyonlarca araçta kullanılan popüler bir GPS izleyicinin, tehdit aktörlerinin araçların konumunu takip etmesine, araçları tamamen kapatmasına, yakıtlarını kesmesine ve cihazları kontrol etmesine olanak tanıyan çok sayıda yüksek önemde güvenlik açığına sahip olduğu bulundu. uzaktan.
Daha da kötüsü, üretici kusurları düzeltmekle hiç ilgilenmiyor gibi görünüyor.
A bildiri (yeni sekmede açılır) BitSight, Çinli bir ürün olan MiCODUS MV720 GPS Tracker’ın altı yüksek önemde güvenlik açığı taşıdığını söyledi. Bunlar artık CVE-2022-2107 olarak izleniyor; CVE-2022-2141; CVE-2022-2199; CVE-2022-34150; ve CVE-2022-33944, bunlardan biri 9,8 önem derecesi puanına sahiptir.
Temel kusurlar
Yaralanmaya hakaret eklemek, kusurların istismar edilmesinin o kadar zor olmadığı gerçeğidir. BitSight’ın baş güvenlik araştırmacısı Pedro Umbelino, şirketin web arayüzünü ve mobil uygulamayı aynı varsayılan parolayı paylaştığını, GPS izleyicinin ise kimlik doğrulama olmadan bile belirli komutları kabul ettiğini söylüyor.
“Bu satıcının genel sistem mimarisindeki temel kusurlar, diğer modellerin güvenlik açığı hakkında önemli soruları gündeme getiriyor” dedi.
İşin en kötü yanı, üreticinin bu delikleri tıkamakla pek ilgilenmemesi. BitSight, şirkete ulaştığını, ancak uyarılarının sağır kulaklara ulaştığını söylüyor: “BitSight, MiCODUS’a yönelik güvenlik açığı açıklama çabaları göz ardı edildiğinde araştırmasını ABD İç Güvenlik Bakanlığı’nın Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) ile paylaştı.” rapor belirtildi.
Üretici sorunları çözene kadar şirket, işletmelerin ve bireylerin, risk çok büyük olduğu için MiCODUS MV720 GPS Tracker’ı kullanmayı bırakmaları gerektiği sonucuna vardı. BitSight, şu anda MiCODUS’un hükümet, ordu, kolluk kuvvetleri ve Fortune 1000 şirketleri de dahil olmak üzere 420.000’den fazla müşterisine sahip olduğunu iddia ediyor.
Uluslararası üne sahip ulusal güvenlik uzmanı ve eski cumhurbaşkanının siber güvenlik danışmanı Richard Clarke, “Çin Amerika Birleşik Devletleri’ndeki araçları uzaktan kontrol edebiliyorsa, bir sorunumuz var” dedi.
“Mobil cihazların benimsenmesindeki hızlı büyüme ve toplumumuzun daha bağlantılı olma arzusuyla, bu gibi GPS izleme cihazlarının güvenlik düşünülerek oluşturulmadıkları takdirde siber riski büyük ölçüde artırabileceği gerçeğini gözden kaçırmak kolaydır. BitSight’ın araştırma bulguları, kişisel güvenliğimizi ve ulusal güvenliğimizi etkilemek için bu güvenlik açıklarından kolayca yararlanılabileceği ve büyük ölçekli filo yönetimi kesintisi ve hatta can kaybı gibi aşırı sonuçlara yol açabileceği durumlarda güvenli IoT altyapısına sahip olmanın nasıl daha da kritik olduğunu vurgulamaktadır.”