日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
知名GPS出現(xiàn)漏洞,可使黑客獲得管理權(quán)限

漏洞研究人員發(fā)現(xiàn)了有關(guān)于GPS追蹤器MiCODUS MV720的安全問題,該追蹤器廣泛應(yīng)用在世界50強(qiáng)企業(yè)、歐洲政府、美國各州、南美軍事機(jī)構(gòu)和核電站運(yùn)營商等,共計(jì)169個(gè)國家約150萬車輛中。

創(chuàng)新互聯(lián)建站客戶idc服務(wù)中心,提供遂寧服務(wù)器托管、成都服務(wù)器、成都主機(jī)托管、成都雙線服務(wù)器等業(yè)務(wù)的一站式服務(wù)。通過各地的服務(wù)中心,我們向成都用戶提供優(yōu)質(zhì)廉價(jià)的產(chǎn)品以及開放、透明、穩(wěn)定、高性價(jià)比的服務(wù),資深網(wǎng)絡(luò)工程師在機(jī)房提供7*24小時(shí)標(biāo)準(zhǔn)級技術(shù)保障。

MiCODUS MV720用戶地圖(BitSight)

此次發(fā)現(xiàn)MV720設(shè)備存在共有6個(gè)漏洞,侵入該設(shè)備的黑客可以利用它來追蹤甚至定位使用該設(shè)備的車輛,也可以通過該設(shè)備收集有關(guān)路線的信息,并操縱數(shù)據(jù)??紤]到該設(shè)備的許多用戶存在軍政背景,黑客的攻擊很有可能會(huì)影響國家安全。

例如,網(wǎng)絡(luò)安全公司BitSight的研究人員在報(bào)告中指出,國有的烏克蘭運(yùn)輸機(jī)構(gòu)就使用了MiCODUS GPS追蹤器,因此俄羅斯黑客可以針對它們來確定供應(yīng)路線、部隊(duì)動(dòng)向或巡邏路線。

漏洞細(xì)節(jié)

雖然不是所有BitSight發(fā)現(xiàn)的六個(gè)漏洞都獲得了識別號,但各個(gè)漏洞的具體細(xì)節(jié)如下:

  • CVE-2022-2107:API服務(wù)器上的硬編碼主密碼,允許未經(jīng)認(rèn)證的遠(yuǎn)程攻擊者獲得對任何MV720追蹤器的完全控制,執(zhí)行切斷燃料行動(dòng),追蹤用戶,并解除警報(bào)。(嚴(yán)重程度得分:9.8)

瞄準(zhǔn)脆弱的API端點(diǎn)(BitSight)

  • CVE-2022-2141: 破解的認(rèn)證方案,允許任何人通過短信向GPS追蹤器發(fā)送一些命令,并以管理員權(quán)限運(yùn)行。(嚴(yán)重程度評分:9.8)

支持管理員用戶的短信命令 (BitSight)

  • 沒有指定的CVE:所有MV720追蹤器上的默認(rèn)密碼(123456)都很弱,沒有強(qiáng)制規(guī)則要求用戶在初始設(shè)備設(shè)置后進(jìn)行更改。(嚴(yán)重程度高分:8.1)
  • CVE-2022-2199:反映在主網(wǎng)絡(luò)服務(wù)器上的跨站腳本(XSS),允許攻擊者訪問用戶賬戶,與應(yīng)用程序互動(dòng),并查看該用戶可訪問的所有信息。(嚴(yán)重程度高分: 7.5)
  • CVE-2022-34150: 主網(wǎng)絡(luò)服務(wù)器上不安全的直接對象引用,允許登錄的用戶訪問服務(wù)器數(shù)據(jù)庫中任何設(shè)備ID的數(shù)據(jù)。(嚴(yán)重程度高分: 7.1)
  • CVE-2022-33944: 主網(wǎng)絡(luò)服務(wù)器上不安全的直接對象引用,允許未經(jīng)認(rèn)證的用戶生成關(guān)于GPS跟蹤器活動(dòng)的Excel報(bào)告。(中等嚴(yán)重程度評分:6.5)

訪問位置和移動(dòng)信息(BitSight)。

BitSight已經(jīng)為獲得識別號的五個(gè)缺陷開發(fā)了概念驗(yàn)證(PoCs)代碼,并展示了它們?nèi)绾卧谝巴獗焕谩?/p>

披露和修復(fù)

BitSight在2021年9月9日發(fā)現(xiàn)了這些關(guān)鍵缺陷,并試圖立即提醒MiCODUS,但遇到了困難,找不到合適的人接受安全報(bào)告。

2021年10月1日再次聯(lián)系了GPS追蹤器的中國供應(yīng)商,但供應(yīng)商拒絕提供安全或工程聯(lián)系人。隨后在11月試圖聯(lián)系該供應(yīng)商,但沒有得到回應(yīng)。

最后,在2022年1月14日,BitSight與美國國土安全部分享了其發(fā)現(xiàn)的所有技術(shù)細(xì)節(jié),并要求他們與該供應(yīng)商接觸。

目前,MiCODUS MV720 GPS追蹤器仍然容易受到上述缺陷的影響,而且供應(yīng)商還沒有提供修復(fù)方案。因此,BitSight建議在修復(fù)方案出臺前,使用MiCODUS MV720 GPS追蹤器的用戶應(yīng)該立即禁用這些設(shè)備,并使用其他的GPS追蹤器進(jìn)行替代。繼續(xù)使用MiCODUS MV720 GPS追蹤器將是一個(gè)極端的安全風(fēng)險(xiǎn),尤其是在這些漏洞被公開披露之后。


當(dāng)前題目:知名GPS出現(xiàn)漏洞,可使黑客獲得管理權(quán)限
分享地址:http://www.dlmjj.cn/article/cocsdjg.html