I ricercatori di sicurezza di BitSight hanno scoperto sei gravi vulnerabilità in un localizzatore GPS per veicoli (MiCODUS MV720) che potenzialmente potrebbero consentire agli attaccanti di tracciare un veicolo in tempo reale, ottenere informazioni sui percorsi precedenti e persino spegnere i motori dei veicoli in movimento.
Secondo quanto si legge nel rapporto pubblicato sarebbero un milione e mezzo i dispositivi MiCODUS in uso da singoli consumatori, agenzie governative, forze armate, forze dell’ordine, aziende e distribuiti in ben 169 paesi.
Le vulnerabilità scoperte
CISA ha assegnato i seguenti riferimenti CVE per cinque delle sei vulnerabilità rilevate:
- CVE-2022-2107 (CVSS 9.8 (Critico)). L’uso di credenziali hardcoded può consentire a un utente malintenzionato di accedere al server Web, impersonare l’utente e inviare comandi SMS al localizzatore GPS come se provenissero dal numero cellulare del proprietario del GPS.
- CVE-2022-2141 (CVSS 9.8 (Critico)). L’autenticazione errata consente a un utente di inviare alcuni comandi SMS al localizzatore GPS senza una password.
- CVE-2022-2199 (CVSS 7.5 (alto)). Una vulnerabilità di scripting tra siti potrebbe consentire a un utente malintenzionato di ottenere il controllo inducendo un utente a effettuare una richiesta.
- CVE-2022-34150 (CVSS 7.1 (alto)). Il server Web principale presenta una vulnerabilità IDOR (Insecure Direct Object References) autenticata sul parametro “Device ID”, che accetta “Device ID” arbitrari senza ulteriori verifiche.
- CVE-2022-33944 (CVSS 6.5 (Medio)). Il server Web principale ha una vulnerabilità IDOR autenticata sul parametro POST “Device ID”, che accetta “Device ID” arbitrari.
Cosa potrebbe accadere
BitSight ha scoperto che il prodotto in questione ovvero l’MV720 a seguito di queste vulnerabilità sarebbe suscettibile a una varietà di attacchi, inclusi gli attacchi man-in-the-middle (MITM) e il bypass dell’autenticazione. Il corretto sfruttamento di tali vulnerabilità potrebbe consentire:
- il tracciamento illegale. Si potrebbero conoscere i percorsi di viaggio di ignari proprietari di case e pianificare furti o altre attività criminali. Civili, politici e dirigenti d’azienda potrebbero essere rintracciati a loro insaputa o senza il loro consenso, minacciando la sicurezza personale e la riservatezza.
- La disabilitazione del veicolo e l’interruzione della catena di approvvigionamento. Un attaccante potrebbe distribuire ransomware, chiedendo un riscatto per riportare il veicolo in condizioni di lavoro.
- Una minaccia alla sicurezza nazionale. BitSight conferma infatti che i localizzatori GPS MiCODUS vengono solitamente utilizzati dalle forze armate nazionali. In un possibile scenario, uno stato-nazione avversario potrebbe potenzialmente sfruttare le vulnerabilità del tracker per raccogliere informazioni su movimenti e rotte di truppe e pattuglie.
Misure di mitigazione
Dato l’impatto e la gravità delle vulnerabilità rilevate, BitSight consiglia agli utenti di cessare il prima possibile l’utilizzo di qualsiasi localizzatore GPS MiCODUS MV720 fino a quando l’azienda non renderà disponibile una correzione.
“Il MiCODUS MV720 non sarà l’ultimo dispositivo scoperto per avere vulnerabilità critiche in grado di minacciare le operazioni aziendali, la sicurezza umana, la sicurezza nazionale e altro ancora. La prossima vulnerabilità critica potrebbe essere scoperta in un altro localizzatore GPS, sensore medico, allarme antincendio intelligente o altro dispositivo IoT. BitSight esorta le organizzazioni a compiere ogni sforzo per prevenire la prossima vulnerabilità critica gestendo in modo adeguato l’adozione di ogni dispositivi IoT“. Si legge nel post.
Si legge altresì sul post che BitSight e CISA hanno deciso di divulgare queste vulnerabilità solo dopo che ripetuti tentativi di condividere informazioni con il produttore MiCODUS sono stati ignorati.
