Vulnerabilidad en popular rastreador GPS está exponiendo la ubicación de millones de vehículos
Investigadores de seguridad han encontrado problemas de seguridad en un rastreador GPS. Según la empresa detrás del rastreador, este está presente en alrededor de 1.5 millones de vehículos en 169 países.
Un total de seis vulnerabilidades afectan al dispositivo MiCODUS MV720, que está presente en vehículos utilizados por varias empresas de Fortune 50, gobiernos de Europa, estados de Estados Unidos, una agencia militar en América del Sur y un operador de planta nuclear. En Europa, su uso está concentrado en Ucrania, Rusia, Uzbekistán, España, Polonia, Alemania y Francia.
Los riesgos derivados de los hallazgos son significativos y afectan tanto a la privacidad como a la seguridad. Un hacker que comprometa un dispositivo MV720 podría usarlo para rastrear o incluso inmovilizar el vehículo que lo transporta, o para recopilar información sobre las rutas y manipular datos.
Teniendo en cuenta las funciones de muchos de los usuarios del dispositivo, los adversarios de los estados nación podrían aprovecharlos para realizar ataques que podrían tener implicaciones para la seguridad nacional.
Por ejemplo, los rastreadores GPS MiCODUS son utilizados por la agencia de transporte estatal ucraniana. En otras palabras, los hackers rusos podrían apuntar a ellos para determinar las rutas de suministro, los movimientos de tropas o las rutas de patrulla. Esto según los investigadores de la empresa de seguridad cibernética BitSight en un informe publicado recientemente.
Detalles de las vulnerabilidades
BitSight observó el modelo particular de MiCODUS porque es un dispositivo de bajo costo ($20) y muy popular. Este tiene funciones de seguimiento confiables habilitadas para celulares y podría usarse para actividades potencialmente peligrosas, como cortar el suministro de combustible.
Si bien no todas las seis vulnerabilidades encontradas por BitSight han recibido un número de identificación, te las mostramos a continuación:
- CVE-2022-2107: Contraseña maestra codificada en el servidor API. La vulnerabilidad permite a un atacante remoto no autenticado obtener el control completo de cualquier rastreador MV720, realizar acciones de corte de combustible, rastrear usuarios y desactivar alarmas. (Puntuación de gravedad crítica: 9.8).
CVE-2022-2141: esquema de autenticación dañado que permite a cualquier persona enviar algunos comandos al rastreador GPS a través de SMS y ejecutarlos con privilegios de administrador. (Puntuación de gravedad crítica: 9.8).
- Sin CVE asignado: contraseña predeterminada débil (123456) en todos los rastreadores MV720. No hay una regla obligatoria que requiera que el usuario la cambie después de la configuración inicial del dispositivo. (Puntuación de gravedad alta: 8.1)
- CVE-2022-2199: Cross-site scripting (XSS) reflejado en el servidor web principal. Esta permite a un atacante acceder a cuentas de usuario, interactuar con las aplicaciones y ver toda la información accesible para ese usuario. (Puntuación de gravedad alta: 7.5)
- CVE-2022-34150: referencia de objeto directo inseguro en el servidor web principal. Esto permite a los usuarios registrados acceder a los datos desde cualquier ID de dispositivo en la base de datos del servidor. (Puntuación de gravedad alta: 7.1)
- CVE-2022-33944: referencia de objeto directo no segura en el servidor web principal lo que permite a los usuarios no autenticados generar informes de Excel sobre la actividad del rastreador GPS. (Puntuación de gravedad media: 6.5)
Explotación
BitSight ha desarrollado un código de prueba de concepto (PoC) para las cinco vulnerabilidades que recibieron un número de identificación, demostrando cómo podrían explotarse en el entorno.
Pedro Umbelino, principal investigador de seguridad de BitSight y autor del informe, dijo que las vulnerabilidades “no son difíciles de explotar”. Además afirmó que la naturaleza de las vulnerabilidades deja “preguntas importantes sobre la vulnerabilidad de otros modelos”, lo que sugiere que las vulnerabilidades pueden no estar limitadas al modelo de rastreador GPS MiCODUS.
El CEO de BitSight, Stephen Harvey, dijo que las vulnerabilidades tienen el potencial de tener “consecuencias desastrosas” para los propietarios de vehículos afectados
Divulgación y reparación
La empresa de seguridad descubrió las vulnerabilidades críticas el 9 de septiembre de 2021 e intentó alertar a MiCODUS de inmediato, pero tuvo dificultades para encontrar a la persona adecuada para aceptar un informe de seguridad.
El proveedor chino del rastreador GPS fue contactado nuevamente el 1 de octubre de 2021, pero se negó a proporcionar un contacto de seguridad o ingeniería. Los intentos posteriores de contactar al proveedor en noviembre no arrojaron una respuesta.
Finalmente, el 14 de enero de 2022, BitSight compartió todos los detalles técnicos de sus hallazgos con el Departamento de Seguridad Nacional de Estados Unidos y les solicitó que se comprometieran con el proveedor a través de sus canales de comunicación.
Actualmente, el rastreador GPS MiCODUS MV720 sigue siendo vulnerable a las vulnerabilidades mencionadas y el proveedor no ha puesto a disposición una solución.
Como tal, recomendamos a los usuarios de estos dispositivos que los deshabiliten inmediatamente hasta que se encuentre una solución o que los reemplacen con rastreadores GPS compatibles activamente.
El dispositivo generalmente requiere una instalación profesional, por lo que es posible que los usuarios deban consultar con un mecánico para deshabilitar correctamente los dispositivos.
Continuar usándolos sería un riesgo de seguridad extremo, especialmente después de esta divulgación pública.
El MiCODUS MV720 no será el último dispositivo que se descubra que tiene vulnerabilidades críticas capaces de amenazar las operaciones comerciales, la seguridad humana, la seguridad nacional y más. La próxima vulnerabilidad crítica podría descubrirse en otro rastreador GPS, sensor médico, alarma contra incendios inteligente u otro dispositivo IoT.