Une srie de vulnrabilits, dont certaines sont critiques, a t rcemment dcouverte dans un dispositif de suivi GPS du chinois MiCODUS. Ces vulnrabilits pourraient permettre des criminels de perturber le fonctionnement des vhicules et d’espionner les itinraires, voire de contrler distance ou de couper le carburant des vhicules. Il n’existe aucun correctif pour ces failles de scurit pour l’instant. Le gouvernement amricain et la socit de cyberscurit BitSight conseillent au public de cesser immdiatement d’utiliser le dispositif, dont 1,5 million d’units seraient actuellement dployes chez 420 000 clients.
La Cybersecurity and Infrastructure Security Agency (CISA) des tats-Unis a mis en garde cette semaine contre l’utilisation d’un traqueur GPS trs rpandu : le MiCODUS MV720. Ce dispositif de suivi GPS serait frapp par plusieurs vulnrabilits graves qui pourraient mettre en danger la vie humaine. Deux des bogues ont reu une note de gravit CVSS de 9,8 sur 10. Elles peuvent tre exploites pour envoyer des commandes au MiCODUS MV720 excuter sans authentification significative ; les autres impliquent un certain degr d’exploitation distance. Selon une valuation de BitSight, il y aurait au moins six vulnrabilits prsentes dans le traqueur GPS.
Une exploitation russie de ces vulnrabilits pourrait permettre un acteur de la menace de contrler n’importe quel traqueur GPS MV720, en lui donnant accs la localisation, aux itinraires, aux commandes de coupure de carburant et au dsarmement de diverses fonctions (par exemple, les alarmes) , a averti la CISA dans un avis publi mardi. Les chercheurs en scurit de BitSight, Pedro Umbelino, Dan Dahlberg et Jacob Olcott, ont dcouvert les six vulnrabilits et les ont signales la CISA aprs avoir essay depuis septembre 2021 de partager les rsultats avec MiCODUS. Ce dernier n’aurait jamais rpondu aux chercheurs de BitSight.
Aprs avoir raisonnablement puis toutes les options pour contacter MiCODUS, BitSight et la CISA ont dtermin que ces vulnrabilits justifiaient une divulgation publique , indique un rapport de BitSight publi mardi. Pour ses recherches, l’quipe de BitSight a utilis le modle MV720, qui, selon la socit, est le moins cher de MiCODUS avec une fonction de coupure de carburant. L’appareil est un traqueur cellulaire qui utilise une carte SIM pour transmettre des mises jour de statut et de localisation aux serveurs de support et recevoir des commandes SMS. Voici un rcapitulatif des vulnrabilits dcouvert par les chercheurs de BitSight:
- CVE-2022-2107 est une vulnrabilit lie un mot de passe cod en dur dans le serveur API de MiCODUS. Elle a reu un score CVSS de 9,8 et permet un attaquant distant d’utiliser un mot de passe principal cod en dur pour se connecter au serveur Web et envoyer des commandes SMS au traqueur GPS d’une cible. Ces ordres semblent provenir du numro de tlphone mobile du propritaire du GPS et peuvent permettre un pirate de prendre le contrle de n’importe quel traqueur, d’accder la localisation du vhicule et de la suivre en temps rel, de couper le carburant et de dsarmer les alarmes ou d’autres fonctions fournies par le gadget ;
- CVE-2022-2141, en raison d’une authentification dfaillante, a galement reu un score CVSS de 9,8. Cette faille pourrait permettre un attaquant d’envoyer des commandes SMS au dispositif de suivi sans authentification.
- une faille dans le mot de passe par dfaut, qui est dtaille dans le rapport de BitSight, mais laquelle la CISA n’a pas attribu de CVE, « reprsente toujours une vulnrabilit grave ». Aucune rgle n’oblige les utilisateurs changer le mot de passe par dfaut, qui est « 123456 », sur les appareils, ce qui permet aux criminels de deviner ou de supposer facilement le mot de passe d’un traqueur ;
- CVE-2022-2199, une vulnrabilit de type « cross-site scripting » (XSS), existe dans le serveur Web principal et pourrait permettre un attaquant de compromettre entirement un appareil en incitant son utilisateur faire une requte – par exemple, en envoyant un lien malveillant dans un e-mail, un tweet ou un autre message. Il a reu une note CVSS de 7,5 ;
- le serveur Web principal prsente une vulnrabilit de type « insecure direct object reference » (rfrence directe non scurise aux objets), rpertorie sous le nom de CVE-2022-34150, sur les identifiants des dispositifs d’extrmit et des paramtres. Cela signifie qu’ils acceptent des identifiants de priphriques arbitraires sans autre vrification. Dans ce cas, il est possible d’accder aux donnes de n’importe quel Device ID dans la base de donnes du serveur, quel que soit l’utilisateur connect. Des informations supplmentaires capables d’intensifier une attaque pourraient tre disponibles, comme les numros de plaque d’immatriculation, les numros de carte SIM, les numros de tlphone mobile , explique BitSight. Il a reu une note CVSS de 7.1 ;
- enfin, CVE-2022-33944 est une autre vulnrabilit de rfrence directe non scurise aux objets sur le serveur Web principal. Cette faille, sur le point de terminaison et le paramtre POST « Device ID », accepte des identifiants de priphriques arbitraires, et a reu un score de svrit de 6,5.
Avant la publication des dcouvertes, le fabricant du gadget, bas en Chine, n’avait fourni aucune mise jour ou aucun correctif pour corriger les failles. La CISA a recommand aux propritaires et aux exploitants de flottes de prendre des « mesures dfensives » pour minimiser les risques. Le fabricant affirme que 1,5 million de ses dispositifs de suivi sont dploys chez 420 000 clients. BitSight a dcouvert que le dispositif tait utilis dans 169 pays, avec des clients tels que des gouvernements, des armes, des organismes chargs de l’application de la loi, ainsi que des entreprises arospatiales, maritimes et manufacturires.
BitSight recommande aux personnes et aux organisations qui utilisent actuellement des dispositifs de suivi GPS MiCODUS MV720 de dsactiver ces dispositifs jusqu’ ce qu’un correctif soit disponible. Les organisations qui utilisent un traqueur GPS MiCODUS, quel que soit le modle, doivent tre alertes de l’inscurit concernant son architecture systme, qui peut mettre tout dispositif en danger , conclut le rapport de BitSight.
Sources : La CISA, Rapport de BitSight (PDF)
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous des failles dcouvertes dans le dispositif suivi GPS de MiCODUS ?
Selon vous, les avantages de ces gadgets l’emportent-ils sur les risques qu’ils pourraient reprsenter ?
Voir aussi