Une série de failles zero-day trouvées dans un dispositif de suivi GPS automobile populaire « pourraient avoir des implications désastreuses, voire mortelles », préviennent les chercheurs en sécurité.
Six vulnérabilités non encore corrigées découvertes par le chercheur BitSight Pedro Umbelino affectent le serveur API, le protocole de suivi GPS et le serveur Web du suivi GPS MV720, qui a été développé par la société chinoise MiCODUS.
L’abus réussi des bogues pourrait voir les attaquants « couper le carburant de toute une flotte de véhicules commerciaux ou d’urgence », utiliser les données GPS « pour surveiller et arrêter brusquement les véhicules sur des autoroutes dangereuses », ou « suivre des individus ou exiger des paiements de rançon pour ramener les véhicules en panne à état de fonctionnement », selon rechercher (PDF) de BitSight.
Grande surface d’attaque
Selon la société de cybersécurité, le MiCODUS MV720 fournit des fonctionnalités de protection contre le vol et de gestion de flotte à des clients dans au moins 169 pays, y compris une société d’énergie Fortune 50, une armée nationale en Amérique du Sud, un gouvernement fédéral en Europe occidentale, un organisme national d’application de la loi agence en Europe de l’Ouest, et un exploitant de centrale nucléaire.
De manière alarmante, BitSight a déclaré qu’Umbelino a également découvert des problèmes de sécurité associés à l’interface de gestion des appareils basée sur le cloud de l’entreprise pour le Web, iOS et Android, une découverte qui signifie que d’autres modèles de suivi GPS MiCODUS pourraient également être non sécurisés. Si les chiffres de MiCODUS sont exacts, cela équivaut à 1,5 million d’appareils potentiellement vulnérables dans le monde.
A NE PAS MANQUER « Risque d’extraction de mot de passe » dans le fournisseur d’identité Okta contesté
Les correctifs de sécurité devant encore se matérialiser, BitSight a exhorté les utilisateurs à « cesser immédiatement d’utiliser ou de désactiver tout tracker GPS MiCODUS MV720 jusqu’à ce qu’un correctif soit disponible ».
UN conseil en sécurité de la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a déclaré qu ‘«aucun exploit public connu ne cible spécifiquement ces vulnérabilités» dans le tracker GPS MV720.
Problèmes d’authentification
Deux problèmes d’authentification critiques dans le serveur API, tous deux obtenant un score CVSS de 9,8, permettent « à un attaquant d’envoyer des commandes SMS directement au traceur GPS comme si elles provenaient du numéro de mobile du propriétaire du GPS ».
Un bogue concerne un mot de passe principal codé en dur (CVE-2022-2107) et l’autre, résultant d’une authentification incorrecte (CVE-2022-2141), permet potentiellement des attaques de manipulateur au milieu (MitM).
Les appareils et l’interface mobile sont préconfigurés avec le mot de passe par défaut « 123456 », que BitSight a classé comme un problème de gravité élevée (CVSS 8.1), bien que CISA ait refusé d’attribuer un CVE. « Il n’y a pas de règle obligatoire pour changer le mot de passe ni de processus de réclamation », selon BitSight, qui a constaté que 94,5% des 1 000 identifiants d’appareils répondants avaient toujours le mot de passe par défaut.
Avec l’ID de l’appareil facilement prévisible et le serveur apparemment dépourvu d’atténuations de la force brute par mot de passe telles que la limitation du débit, les attaquants peuvent facilement accéder à des trackers GPS aléatoires.
Une vulnérabilité élevée (CVSS 7.5) reflétant une vulnérabilité de script intersite (XSS) affectant le serveur Web principal pourrait, quant à elle, permettre aux attaquants de « compromettre complètement l’appareil ».
Le serveur Web principal contient également une paire de vulnérabilités de référence d’objet direct non sécurisées authentifiées, suivies comme CVE-2022-34150 (CVSS 7.1) et CVE-2022-33944 (CVSS 6.5).
« Avoir un tableau de bord centralisé pour surveiller les trackers GPS avec la possibilité d’activer ou de désactiver un véhicule, de surveiller la vitesse, les itinéraires et d’exploiter d’autres fonctionnalités » est aussi potentiellement dangereux qu’utile, a suggéré BitSight.
« Malheureusement, le MiCODUS MV720 manque de protections de sécurité de base », et avec seulement « des tests limités, BitSight a découvert une multitude de failles affectant tous les composants de l’écosystème du tracker GPS ».
BitSight a déclaré avoir divulgué les failles pour la première fois au fournisseur le 9 septembre 2021, et après avoir répondu initialement, MiCODUS n’a pas répondu à plusieurs demandes ultérieures de mises à jour, à la fois de BitSight et de CISA. BitSight a publié ses conclusions hier (19 juillet).