Bug Pelacak GPS yang Belum Ditambal Dapat Membiarkan Penyerang Mengganggu Kendaraan dari Jarak Jauh — Berita Peretas

Unpatched GPS Tracker

Badan Keamanan Siber dan Infrastruktur (CISA) AS memperingatkan beberapa kerentanan keamanan yang belum ditambal di pelacak Sistem Pemosisian Global (GPS) MiCODUS MV720 yang dipasang di lebih dari 1,5 juta kendaraan yang dapat menyebabkan gangguan jarak jauh pada operasi kritis.

“Eksploitasi yang berhasil dari kerentanan ini memungkinkan aktor jarak jauh untuk mengeksploitasi akses dan mendapatkan kendali atas pelacak sistem pemosisian global,” kata CISA. “Kerentanan ini dapat memengaruhi akses ke pasokan bahan bakar kendaraan, kontrol kendaraan, atau memungkinkan pengawasan lokasi kendaraan tempat perangkat dipasang.”

Tersedia untuk dijual seharga $20 dan diproduksi oleh MiCODUS yang berbasis di China, perangkat pelacak perusahaan digunakan oleh organisasi besar di 169 negara yang mencakup sektor kedirgantaraan, energi, teknik, pemerintah, manufaktur, pembangkit listrik tenaga nuklir, dan perkapalan.

Keamanan cyber

Negara teratas dengan pengguna terbanyak termasuk Chili, Australia, Meksiko, Ukraina, Rusia, Maroko, Venezuela, Brasil, Polandia, Italia, Indonesia, Uzbekistan, dan Afrika Selatan.

Pelacak GPS Belum Ditambal

Masalah, yang diidentifikasi selama audit keamanan oleh BitSight, juga berpotensi disalahgunakan untuk melacak individu tanpa sepengetahuan mereka, melumpuhkan kendaraan, dan bahkan menimbulkan implikasi keamanan nasional mengingat fakta bahwa militer dan lembaga penegak hukum menggunakan pelacak untuk pemantauan waktu nyata.

code

“Musuh negara-bangsa berpotensi mengeksploitasi kerentanan pelacak untuk mengumpulkan intelijen tentang gerakan terkait militer termasuk rute pasokan, pergerakan pasukan reguler, dan patroli berulang,” peneliti BitSight menunjukkan.

Related Post :   Peretas Menargetkan Perusahaan Perangkat Lunak Ukraina Menggunakan GoMet Backdoor

Daftar kelemahan yang diungkapkan ke MiCODUS pada September 2021 di bawah ini –

  • CVE-2022-2107 (Skor CVSS: 9,8) – Penggunaan kata sandi master hard-coded yang dapat memungkinkan penyerang yang tidak diautentikasi untuk melakukan serangan adversary-in-the-middle (AitM) dan menguasai pelacak.
  • CVE-2022-2141 (Skor CVSS: 9,8) – Skema otentikasi rusak di server API yang memungkinkan penyerang mengontrol semua lalu lintas antara pelacak GPS dan server asli dan mendapatkan kendali.
  • Tidak ada CVE yang ditetapkan (Skor CVSS: 8.1) – Penggunaan kata sandi default “123456” yang telah dikonfigurasi sebelumnya yang memungkinkan penyerang mengakses pelacak GPS secara acak.
  • CVE-2022-2199 (Skor CVSS: 7,5) – Kerentanan skrip lintas situs (XSS) yang tercermin di server web yang dapat menyebabkan eksekusi kode JavaScript arbitrer di browser web.
  • CVE-2022-34150 (Skor CVSS: 7.1) – Kerentanan kontrol akses yang berasal dari Insecure Direct Object Reference (IDOR) yang dapat mengakibatkan terbukanya informasi sensitif.
  • CVE-2022-33944 (Skor CVSS: 6,5) – Kasus kerentanan IDOR terautentikasi yang dapat dimanfaatkan untuk menghasilkan laporan Excel tentang aktivitas perangkat.
Keamanan cyber

Singkatnya, kelemahan tersebut dapat dipersenjatai untuk mendapatkan akses ke lokasi, rute, perintah penghentian bahan bakar serta kemampuan untuk melucuti berbagai fitur seperti alarm.

Tetapi tanpa solusi yang terlihat, pengguna pelacak GPS yang bersangkutan disarankan untuk mengambil langkah-langkah untuk meminimalkan paparan atau sebagai alternatif berhenti menggunakan perangkat dan menonaktifkannya sama sekali sampai perbaikan tersedia oleh perusahaan.

Related Post :   Peneliti Peringatkan Kampanye Malware 'Matanbuchus' Menjatuhkan Cobalt Strike Beacons

“Memiliki dasbor terpusat untuk memantau pelacak GPS dengan kemampuan untuk mengaktifkan atau menonaktifkan kendaraan, memantau kecepatan, rute, dan memanfaatkan fitur lainnya berguna bagi banyak individu dan organisasi,” kata para peneliti. “Namun, fungsionalitas seperti itu dapat menimbulkan risiko keamanan yang serius.”


Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.