Una empresa de seguridad y el gobierno de los EE. UU. aconsejan al público que deje de usar de inmediato un popular dispositivo de rastreo GPS o que al menos minimice la exposición a él, citando una serie de vulnerabilidades que hacen posible que los piratas informáticos desactiven de forma remota los automóviles mientras se mueven. Rastree historiales de ubicación, desarme alarmas y corte de combustible.
Una evaluación de la firma de seguridad BitSight encontró seis vulnerabilidades en el Micodus MV720, un rastreador GPS que se vende por alrededor de $20 y está ampliamente disponible. Los investigadores que realizaron la evaluación creen que las mismas vulnerabilidades críticas están presentes en otros modelos de rastreadores Micodus. El fabricante con sede en China dice que 1,5 millones de sus dispositivos de rastreo están desplegados en 420.000 clientes. BitSight encontró el dispositivo en uso en 169 países, con clientes que incluyen gobiernos, militares, agencias de aplicación de la ley y empresas aeroespaciales, de envío y de fabricación.
BitSight descubrió lo que dijo que eran seis vulnerabilidades “graves” en el dispositivo que permiten una gran cantidad de posibles ataques. Una falla es el uso de comunicaciones HTTP sin cifrar que hace posible que los piratas informáticos remotos realicen ataques de adversario en el medio que interceptan o cambian las solicitudes enviadas entre la aplicación móvil y los servidores de soporte. Otras vulnerabilidades incluyen un mecanismo de autenticación defectuoso en la aplicación móvil que puede permitir a los atacantes acceder a la clave codificada para bloquear los rastreadores y la capacidad de usar una dirección IP personalizada que permite a los piratas monitorear y controlar todas las comunicaciones hacia y desde el dispositivo.
La empresa de seguridad dijo que contactó por primera vez a Micodus en septiembre para notificar a los funcionarios de la empresa sobre las vulnerabilidades. BitSight y CISA finalmente hicieron públicos sus hallazgos el martes después de intentar durante meses comprometerse de forma privada con el fabricante. En el momento de escribir este artículo, todas las vulnerabilidades siguen sin parchear ni mitigar.
“BitSight recomienda que las personas y organizaciones que actualmente usan dispositivos de rastreo GPS MiCODUS MV720 desactiven estos dispositivos hasta que haya una solución disponible”, investigadores escribió. “Las organizaciones que utilizan cualquier rastreador GPS MiCODUS, independientemente del modelo, deben ser alertadas sobre la inseguridad con respecto a la arquitectura de su sistema, lo que puede poner en riesgo cualquier dispositivo”.
La Administración de Seguridad de Infraestructura y Ciberseguridad de EE. UU. también advierte sobre los riesgos que plantean los errores de seguridad críticos.
“La explotación exitosa de estas vulnerabilidades podría permitir que un atacante controle cualquier rastreador GPS MV720, otorgando acceso a la ubicación, rutas, comandos de corte de combustible y el desarme de varias funciones (por ejemplo, alarmas)”, funcionarios de la agencia. escribió.
Las vulnerabilidades incluyen una rastreada como CVE-2022-2107, una contraseña codificada que tiene una calificación de gravedad de 9.8 de un posible 10. Los rastreadores de Micodus la usan como contraseña maestra. Los piratas informáticos que obtienen este código de acceso pueden usarlo para iniciar sesión en el servidor web, hacerse pasar por el usuario legítimo y enviar comandos al rastreador a través de comunicaciones por SMS que parecen provenir del número de teléfono móvil del usuario del GPS. Con este control, los piratas informáticos pueden:
• Obtenga el control completo de cualquier rastreador GPS
• Acceda a información de ubicación, rutas, geocercas y ubicaciones de seguimiento en tiempo real
• Cortar el combustible a los vehículos
• Desarmar alarmas y otras características
Una vulnerabilidad separada, CVE-2022-2141, conduce a un estado de autenticación roto en el protocolo que usan el servidor Micodus y el rastreador GPS para comunicarse. Otras vulnerabilidades incluyen una contraseña codificada utilizada por el servidor Micodus, un error de secuencias de comandos entre sitios reflejado en el servidor web y una referencia de objeto directo inseguro en el servidor web. Las otras designaciones de seguimiento incluyen CVE-2022-2199, CVE-2022-34150, CVE-2022-33944.
“La explotación de estas vulnerabilidades podría tener implicaciones desastrosas e incluso potencialmente mortales”, escribieron los investigadores de BitSight. “Por ejemplo, un atacante podría explotar algunas de las vulnerabilidades para cortar el combustible a toda una flota de vehículos comerciales o de emergencia. O bien, el atacante podría aprovechar la información del GPS para monitorear y detener abruptamente los vehículos en carreteras peligrosas. Los atacantes podrían optar por rastrear subrepticiamente a las personas o exigir pagos de rescate para que los vehículos averiados vuelvan a funcionar. Hay muchos escenarios posibles que podrían resultar en la pérdida de vidas, daños a la propiedad, intrusiones en la privacidad y amenazas a la seguridad nacional”.
Los intentos de comunicarse con Micodus para obtener comentarios no tuvieron éxito.
Las advertencias de BitSight son importantes. Cualquier persona que use uno de estos dispositivos debe apagarlo inmediatamente, si es posible, y consultar con un especialista en seguridad capacitado antes de volver a usarlo.