Une entreprise de sécurité et le gouvernement américain conseillent au public de cesser immédiatement d’utiliser un dispositif de suivi GPS populaire ou au moins de minimiser l’exposition à celui-ci, citant une foule de vulnérabilités qui permettent aux pirates de désactiver à distance les voitures pendant qu’elles se déplacent, suivre les historiques de localisation, désarmer les alarmes et couper le carburant.
Une évaluation de la société de sécurité BitSight a révélé six vulnérabilités dans le Micodus MV720, un tracker GPS qui se vend environ 20 $ et est largement disponible. Les chercheurs qui ont effectué l’évaluation pensent que les mêmes vulnérabilités critiques sont présentes dans d’autres modèles de suivi Micodus. Le fabricant basé en Chine affirme que 1,5 million de ses appareils de suivi sont déployés chez 420 000 clients. BitSight a trouvé l’appareil utilisé dans 169 pays, avec des clients comprenant des gouvernements, des militaires, des forces de l’ordre et des entreprises aérospatiales, maritimes et manufacturières.
BitSight a découvert ce qu’il a dit être six vulnérabilités “graves” dans l’appareil qui permettent une foule d’attaques possibles. L’un des défauts est l’utilisation de communications HTTP non cryptées qui permettent aux pirates distants de mener des attaques d’adversaire au milieu qui interceptent ou modifient les demandes envoyées entre l’application mobile et les serveurs de support. D’autres vulnérabilités incluent un mécanisme d’authentification défectueux dans l’application mobile qui peut permettre aux attaquants d’accéder à la clé codée en dur pour verrouiller les trackers et la possibilité d’utiliser une adresse IP personnalisée qui permet aux pirates de surveiller et de contrôler toutes les communications vers et depuis le dispositif.
La société de sécurité a déclaré avoir contacté Micodus pour la première fois en septembre pour informer les responsables de l’entreprise des vulnérabilités. BitSight et CISA ont finalement rendu public les conclusions mardi après avoir tenté pendant des mois de s’engager en privé avec le fabricant. Au moment de la rédaction, toutes les vulnérabilités restent non corrigées et non atténuées.
“BitSight recommande aux personnes et aux organisations qui utilisent actuellement les appareils de suivi GPS MiCODUS MV720 de désactiver ces appareils jusqu’à ce qu’un correctif soit disponible”, ont écrit les chercheurs. “Les organisations utilisant n’importe quel tracker GPS MiCODUS, quel que soit le modèle, doivent être alertées de l’insécurité concernant son architecture système, qui peut mettre tout appareil en danger.”
La Cybersecurity and Infrastructure Security Administration des États-Unis met également en garde contre les risques posés par les bogues de sécurité critiques.
“L’exploitation réussie de ces vulnérabilités pourrait permettre à un attaquant de contrôler n’importe quel tracker GPS MV720, donnant accès à l’emplacement, aux itinéraires, aux commandes de coupure de carburant et au désarmement de diverses fonctionnalités (par exemple, les alarmes)”, ont écrit des responsables de l’agence.
Les vulnérabilités incluent une identifiée comme CVE-2022-2107, un mot de passe codé en dur qui porte un indice de gravité de 9,8 sur 10 possibles. Les trackers Micodus l’utilisent comme mot de passe principal. Les pirates qui obtiennent ce mot de passe peuvent l’utiliser pour se connecter au serveur Web, usurper l’identité de l’utilisateur légitime et envoyer des commandes au tracker via des communications SMS qui semblent provenir du numéro de téléphone mobile de l’utilisateur GPS. Avec ce contrôle, les pirates peuvent :
• Obtenez le contrôle complet de n’importe quel tracker GPS
• Accédez aux informations de localisation, aux itinéraires, aux clôtures géographiques et aux emplacements de suivi en temps réel
• Couper le carburant des véhicules
• Désarmer les alarmes et autres fonctionnalités
Une vulnérabilité distincte, CVE-2022-2141, conduit à un état d’authentification cassé dans le protocole utilisé par le serveur Micodus et le traceur GPS pour communiquer. D’autres vulnérabilités incluent un mot de passe codé en dur utilisé par le serveur Micodus, une erreur de script intersite reflétée dans le serveur Web et une référence d’objet directe non sécurisée dans le serveur Web. Les autres désignations de suivi incluent CVE-2022-2199, CVE-2022-34150, CVE-2022-33944.
“L’exploitation de ces vulnérabilités pourrait avoir des implications désastreuses, voire mortelles”, ont écrit les chercheurs de BitSight. “Par exemple, un attaquant pourrait exploiter certaines des vulnérabilités pour couper le carburant de toute une flotte de véhicules commerciaux ou d’urgence. Ou, l’attaquant pourrait exploiter les informations GPS pour surveiller et arrêter brusquement les véhicules sur les autoroutes dangereuses. Les attaquants pourraient choisir de suivre subrepticement des individus ou d’exiger des paiements de rançon pour remettre les véhicules en panne en état de marche. Il existe de nombreux scénarios possibles qui pourraient entraîner des pertes de vie, des dommages matériels, des intrusions dans la vie privée et menacer la sécurité nationale.
Les tentatives pour joindre Micodus pour un commentaire ont été infructueuses.
Les avertissements BitSight sont importants. Toute personne utilisant l’un de ces appareils doit l’éteindre immédiatement, si possible, et consulter un spécialiste de la sécurité qualifié avant de l’utiliser à nouveau.
