美国网络安全和基础设施安全局 (CISA) 警告称, MiCODUS MV720 全球定位系统 GPS 中存在一些未修复的安全漏洞,这些包含漏洞的GPS被安装在超过 150 万辆汽车中,成功利用这些漏洞可能允许远程攻击者利用访问权限并获得对全球定位系统GPS的控制权,这些漏洞可能会影响对车辆燃料供应的访问、车辆控制,或允许对安装了该设备的车辆进行位置监控。
根据中国网络安全行业门户极牛网(GeekNB.com)的梳理,该GPS设备的是由总部位于中国的 MiCODUS 制造,被 169 个国家的主要组织采用,涵盖航空航天、能源、工程、政府、制造、核电站和航运部门。
这些安全漏洞是在安全审计过程中发现的,也可能被滥用在不知情的情况下跟踪个人、禁用车辆,甚至对军队和执法机构使用GPS进行实时监控。
此次发现的安全漏洞列表如下:
- CVE-2022-2107(CVSS 评分:9.8)- 使用硬编码的主密码,可以使未经身份验证的攻击者执行中间对手 (AitM) 攻击并控制跟踪器。
- CVE-2022-2141(CVSS 评分:9.8)- API 服务器中的身份验证方案被破坏,使攻击者能够控制 GPS 跟踪器和原始服务器之间的所有流量并获得控制权。
- CVE-2022-2199(CVSS 评分:7.5)- Web 服务器中的反射跨站点脚本 (XSS) 漏洞,可能导致在 Web 浏览器中执行任意 JavaScript 代码。
- CVE-2022-34150(CVSS 评分:7.1)- 源自不安全直接对象引用 ( IDOR ) 的访问控制漏洞,可能导致敏感信息泄露。
- CVE-2022-33944(CVSS 评分:6.5) – 一个经过身份验证的 IDOR 漏洞案例,可用于生成有关设备活动的 Excel 报告。
简而言之,这些安全漏洞可以被武器化,以获取位置、路线等命令以及解除警报等各种功能的能力。
但由于没有解决办法,建议有问题的 GPS 设备用户采取措施尽量减少暴露,或者停止使用这些设备并完全禁用它们,直到设备厂商提供修复程序。
极牛网精选文章《GPS定位设备曝多个高危漏洞,可监控位置甚至远程控制车辆》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/20204.html