0
0
Seis vulnerabilidades foram encontradas em um dispositivo de rastreamento GPS usado por empresas para monitorar frotas de veículos e por consumidores como um dispositivo antifurto. Se explorados, eles podem permitir que invasores interrompam amplamente as operações da frota e rastreiem veículos individuais.
Isso é de acordo com a empresa de segurança cibernética BitSight, que afirmou em um comunicado de terça-feira que o dispositivo, o MiCODUS MV720, possui vulnerabilidades no dispositivo e no serviço de back-end. Isso abre caminho para ataques man-in-the-middle (MitM), desvios de autenticação e rastreamento de localização . As vulnerabilidades incluem uma senha de dispositivo codificada que permite acesso por meio de solicitações de SMS e uma senha padrão no servidor da API, descobriu o BitSight.
“A exploração dessas vulnerabilidades pode ter implicações desastrosas e até fatais”, afirma a BitSight no relatório . “Por exemplo, um invasor pode explorar algumas das vulnerabilidades para reduzir o combustível de uma frota inteira de veículos comerciais ou de emergência. Ou, o invasor pode aproveitar as informações do GPS para monitorar e parar abruptamente veículos em estradas perigosas.”
As vulnerabilidades incluem uma senha codificada que pode permitir que comandos sejam enviados a dispositivos, a capacidade de usar privilégios de administrador para comandos e uma senha padrão de 123456. Falhas de menor gravidade incluem um problema de script entre sites (XSS) refletido e a capacidade de acessar diretamente partes do aplicativo. Cinco das vulnerabilidades receberam identificadores no programa Common Vulnerabilities and Exposures (CVE): CVE-2022-2107, CVE-2022-2141, CVE-2022-2199, CVE-2022-34150 e CVE-2022-33944. A falha de segurança de senha padrão não foi considerada uma vulnerabilidade e, portanto, não obteve um identificador CVE.
Bugs de GPS permanecem sem correção
Embora a empresa não tenha observado nenhum sinal de que as vulnerabilidades tenham sido exploradas, a empresa chinesa que fabrica o dispositivo, MiCODUS, não respondeu às tentativas de discutir os problemas, diz Stephen Boyer, cofundador e CTO da BitSight.
A BitSight originalmente entrou em contato com a MiCODUS sobre os problemas em setembro de 2021 e, após uma solicitação inicial de mais informações, a empresa recusou tentativas subsequentes de comunicação, segundo a empresa. O MiCODUS não respondeu imediatamente a um pedido de comentário da Dark Reading.
“Infelizmente, a senha codificada significa que a única estratégia real de correção é remover o dispositivo MV720 ou remover o cartão SIM do dispositivo”, diz ele. A empresa compartilhou as informações do bug com o Departamento de Segurança Interna, acrescentou, na esperança de desenvolver uma estratégia de remediação apropriada.
“Os dispositivos IoT estão cheios de vulnerabilidades, e isso não mudará no futuro, não importa quantas dessas histórias sejam divulgadas”, disse Roger Grimes, evangelista de defesa orientada por dados da KnowBe4, por e-mail. “Os dispositivos IoT são particularmente difíceis de corrigir. Todos deveriam ser corrigidos automaticamente, mas a maioria não é. A maioria requer interação do usuário final e muitas vezes uma conexão física.”
Ele acrescentou: “Se você acha que é difícil corrigir software regular, é dez vezes mais difícil corrigir dispositivos IoT. Estou apenas supondo aqui, mas especularia que 90% dos dispositivos de rastreamento GPS vulneráveis permanecerão vulneráveis e exploráveis se e quando o fornecedor realmente decide consertá-los. Os hackers adoram essas probabilidades.”
IoT: ainda sem segurança por design, ameaça generalizada
As vulnerabilidades ressaltam os riscos apresentados pelos dispositivos da Internet das Coisas (IoT) que não se beneficiaram da atenção adequada ao design e às auditorias de segurança. Os dispositivos conectados normalmente têm menos segurança, mas são distribuídos pela infraestrutura de muitas empresas e lidam com processos físicos — como acesso de entrada e controle de energia — ao contrário da tecnologia de informação tradicional.
Preocupado com a falta de segurança, o governo dos EUA estabeleceu requisitos para segurança de dispositivos IoT .
Os dispositivos IoT geralmente também são muito mais difundidos do que a maioria dos usuários de negócios reconhece. Conforme mostrado pela pesquisa da BitSight, por exemplo, os dispositivos GPS em geral são usados em veículos pertencentes a pelo menos cinco empresas da Fortune 50, bem como concessionárias de energia e governos no Oriente Médio, Europa e América do Norte.
A BitSight não conseguiu determinar a prevalência do MiCODUS MV720 especificamente, mas observou que o MiCODUS afirma que 1,5 milhão de dispositivos são usados globalmente. Além disso, a BitSight viu quase 2,4 milhões de conexões com o servidor da API MiCODUS de 169 países em todo o mundo. O MiCODUS MV720 é um modelo básico vendido por US$ 20 online, mas outros modelos podem representar parte, ou mesmo a maior parte, da base instalada do fabricante de IoT.
O relatório da BitSight observa que existem dois amplos casos de uso para os dispositivos. Em alguns países, os dados sugerem que os dispositivos são usados para gerenciar frotas de veículos. No entanto, em outros países, o grande número de conexões individuais per capita sugere que os indivíduos estão usando os dispositivos para aplicações antifurto.
“A Indonésia tem muitos endereços IP exclusivos se comunicando com o servidor MiCODUS, mas principalmente na porta do rastreador GPS”, afirma a BitSight no comunicado. “Isso pode sugerir que há um pequeno número de usuários com um alto número de dispositivos, o que é típico em um cenário de gerenciamento de frota. Em comparação, o México tem um número muito alto de conexões à web e portas móveis, o que pode indicar indivíduos estão usando o rastreador GPS como um dispositivo anti-roubo.”
México, Rússia e Uzbequistão são os países com mais usuários individuais, estima a empresa. Rússia, Marrocos e Chile parecem ter o maior número de dispositivos reais.
FONTE: DARK READING