Los errores críticos en el rastreador GPS permiten hacks

Una empresa de seguridad y el gobierno de los EE. UU. aconsejan al público que deje de usar un popular dispositivo de rastreo GPS de inmediato, o al menos minimice la exposición a él, citando una variedad de vulnerabilidades que permiten a los piratas informáticos robar automóviles mientras conducen para desactivarlo de forma remota. Realice un seguimiento de los historiales de ubicación, deshabilite las alarmas y cierre el suministro de combustible.

Una evaluación realizada por la firma de seguridad BitSight encontró seis vulnerabilidades en el Micodus MV720, un rastreador GPS ampliamente utilizado que se vende por alrededor de $20. Los investigadores que realizaron la evaluación creen que existen las mismas vulnerabilidades críticas en otros modelos de rastreadores Micodus. El fabricante con sede en China dice que 420.000 clientes utilizan 1,5 millones de sus dispositivos de seguimiento. BitSight ha encontrado el dispositivo implementado en 169 países, con clientes que incluyen empresas gubernamentales, militares, policiales y aeroespaciales, de envío y fabricación.

Según se informa, BitSight descubrió seis vulnerabilidades «graves» en el dispositivo, que permiten una variedad de posibles ataques. Una falla es el uso de comunicación HTTP sin cifrar, que permite a los piratas informáticos remotos realizar ataques de atacante en el medio que interceptan o modifican las solicitudes enviadas entre la aplicación móvil y los servidores de soporte. Otras vulnerabilidades incluyen un mecanismo de autenticación defectuoso en la aplicación móvil que puede permitir a los atacantes acceder a la clave codificada utilizada para bloquear los rastreadores, y la capacidad de usar una dirección IP personalizada que permite a los piratas informáticos robar todas las comunicaciones del dispositivo para monitorear y control.

La firma de seguridad dijo que contactó a Micodus por primera vez en septiembre para actualizar a los funcionarios de la compañía sobre las vulnerabilidades. BitSight y CISA finalmente hicieron públicos los resultados el martes después de meses de intentar ponerse en contacto con el fabricante en privado. Al momento de escribir este artículo, todas las vulnerabilidades no están parcheadas ni mitigadas.

«BitSight recomienda que las personas y organizaciones que actualmente utilizan los localizadores GPS MiCODUS MV720 deshabiliten estos dispositivos hasta que haya una solución disponible», escribieron los investigadores. «Las organizaciones que utilizan cualquier rastreador GPS MiCODUS, independientemente del modelo, deben ser conscientes de la incertidumbre que rodea a la arquitectura del sistema que puede poner en riesgo a cualquier dispositivo».

La Administración de Seguridad de Infraestructura y Ciberseguridad de EE. UU. también advierte sobre los riesgos que emanan de las vulnerabilidades críticas.

«La explotación exitosa de estas vulnerabilidades podría permitir que un atacante tome el control de cualquier rastreador GPS MV720 otorgando acceso a la ubicación, rutas, comandos de corte de combustible y deshabilitando varias funciones (por ejemplo, alarmas)», escribieron los funcionarios de la agencia.

Las vulnerabilidades incluyen una rastreada como CVE-2022-2107, una contraseña codificada que tiene una calificación de gravedad de 9.8 de 10 posibles. Los rastreadores de Micodeus lo usan como contraseña maestra. Los piratas informáticos que obtienen este código de acceso pueden usarlo para iniciar sesión en el servidor web, hacerse pasar por el usuario legítimo y enviar comandos al rastreador a través de comunicaciones por SMS que parecen provenir del número de teléfono celular del usuario del GPS. Con este control, los piratas informáticos pueden:

Obtenga un control completo sobre cualquier rastreador GPS
• Acceda a información de ubicación en tiempo real, rutas, geocercas y ubicaciones de seguimiento
• Cortar el suministro de combustible a los vehículos
• Deshabilitar alarmas y otras funciones

Una vulnerabilidad separada, CVE-2022-2141, conduce a un estado de autenticación incorrecto en el protocolo que usan el servidor Micodus y el rastreador GPS para comunicarse. Otras vulnerabilidades incluyen una contraseña codificada utilizada por el servidor Micodus, un error de secuencias de comandos entre sitios reflejado en el servidor web y una referencia de objeto directo inseguro en el servidor web. Las otras designaciones de seguimiento incluyen CVE-2022-2199, CVE-2022-34150, CVE-2022-33944.

«La explotación de estas vulnerabilidades podría tener consecuencias catastróficas e incluso potencialmente mortales», escribieron los investigadores de BitSight. “Por ejemplo, un atacante podría explotar algunas de las vulnerabilidades para reducir el consumo de combustible de toda una flota de vehículos comerciales o de emergencia. O el atacante podría usar la información del GPS para monitorear y detener abruptamente los vehículos en carreteras peligrosas. Los atacantes podrían optar por rastrear de forma encubierta a las personas o exigir pagos de rescate para restaurar los vehículos averiados a una condición de funcionamiento. Hay muchos escenarios posibles que podrían resultar en muerte, daños a la propiedad, invasión de la privacidad y una amenaza a la seguridad nacional”.

Los intentos de comunicarse con Micodus para obtener comentarios no tuvieron éxito.

Las advertencias de BitSight son importantes. Cualquiera que use cualquiera de estos dispositivos debe apagarlo inmediatamente si es posible y consultar a un profesional de seguridad capacitado antes de volver a usarlo.

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí