Les cyberpirates exploitent les vulnérabilités d'un dispositif de suivi GPS populaire utilisé dans le monde entier pour la gestion des flottes de véhicules dans de nombreux secteurs industriels. Le traceur, fabriqué par une société chinoise appelée Micodus, est largement disponible à l'achat auprès de détaillants en ligne et possède des fonctionnalités d'antivol, de coupure de carburant, de contrôle à distance et de géolocalisation. « L'exploitation de ces vulnérabilités pourrait avoir des implications désastreuses, voire mortelles », ont déclaré les chercheurs de la société d'évaluation de la cybersécurité BitSight dans un rapport.
« Par exemple, un attaquant pourrait exploiter certaines de ces vulnérabilités pour couper le carburant de toute une flotte de véhicules commerciaux ou d'urgence. Il pourrait aussi exploiter les informations GPS pour surveiller et arrêter brusquement des véhicules sur des autoroutes dangereuses. Les attaquants pourraient choisir de suivre subrepticement des personnes ou d'exiger le paiement d'une rançon pour remettre les véhicules en panne en état de marche. Il existe de nombreux scénarios possibles qui pourraient entraîner des pertes de vies humaines, des dommages matériels, des intrusions dans la vie privée et menacer la sécurité nationale ».
L'infrastructure de suivi GPS Micodus en cause
BitSight a déclaré avoir tenté à plusieurs reprises depuis septembre d'établir un contact technique avec Micodus pour partager ses découvertes, mais n'a pu joindre que le service commercial de la société, qui n'a pas été d'une grande aide. Les chercheurs ont alors contacté le ministère américain de la sécurité intérieure, qui gère la Cybersecurity and Infrastructure Security Agency (CISA), pour qu'il les aide à coordonner la divulgation de la vulnérabilité. La CISA a depuis publié un avis sur les ICS.
Les chercheurs ont étudié le Micodus MV720, un dispositif de suivi GPS câblé et cellulaire pour les véhicules, doté d'une fonction de coupure de carburant et pouvant recevoir des commandes par SMS. Cependant, certaines des vulnérabilités identifiées ne se trouvent pas dans le dispositif lui-même mais dans l'infrastructure associée, comme l’API serveur cloud et l'application mobile de Micodus, ce qui signifie que les autres dispositifs de suivi GPS de la société pourraient également être affectés. La société chinoise fabrique également plusieurs traceurs GPS destinés à d'autres types de biens et à un usage personnel. Les trackers MV720 communiquent avec un serveur Micodus via un protocole TCP personnalisé non chiffré sur le port 7700. Ce même serveur héberge également l'interface web à laquelle les utilisateurs peuvent se connecter pour gérer leurs trackers GPS, ainsi qu'une API utilisée par l'application mobile. Si l'interface web utilise le protocole HTTPS, la communication de l'API se fait par HTTP ordinaire, ce qui ouvre la porte à des attaques de type « man-in-the-middle » si un pirate peut se placer sur le chemin du réseau entre l'application mobile d'un utilisateur et le serveur API.
Contournement de l'authentification et prise de contrôle totale de l'appareil
L'absence de chiffrement sur le serveur API a permis aux chercheurs d'analyser facilement le trafic envoyé par l'application mobile. Ils ont ainsi découvert qu'après une authentification réussie, le serveur définit la même clé de session et le même jeton d'accès codé en dur pour tous les utilisateurs. En d'autres termes, un attaquant pourrait facilement créer des requêtes à l'API pour détourner un traceur GPS qui ne lui appartient pas. Cette vulnérabilité est aggravée par le fait que les traqueurs GPS semblent avoir des identifiants incrémentiels dans le système, de sorte qu'ils sont faciles à énumérer. L'API permet d'envoyer des commandes aux traqueurs GPS comme si elles étaient envoyées par SMS depuis le numéro de téléphone du propriétaire. Il est ainsi possible d'accéder aux informations de localisation, aux itinéraires, aux fonctions de géolocalisation, de couper le carburant des véhicules et de désactiver les alarmes. Cette vulnérabilité, qui fait l'objet d'un suivi sous le nom de CVE-2022-2107 et qui est classée critique, permet de contrôler totalement les fonctionnalités du traqueur.
Lorsque quelqu'un essaie de voler une voiture possédant le traceur GPS Micodus 720, l'entreprise explique sur son site qu'il est possible de contrôler l'appareil à distance, et de faire le nécessaire en déconnectant des fonctions à distance. (Crédit : Micodus)
Et ce n'est pas tout. Les trackers GPS sont livrés avec un mot de passe par défaut (123456) et il n'y a aucune obligation ou avertissement pour les utilisateurs de le changer. En fait, les chercheurs ont testé 1 000 traqueurs GPS via l'interface Web en incrémentant simplement l'ID du traqueur qu'ils possédaient et 945 d'entre eux avaient toujours le mot de passe par défaut. Bien qu'aucun CVE n'ait été attribué à ce problème, les chercheurs estiment qu'il s'agit d'une vulnérabilité sérieuse. Même si le mot de passe est modifié, le dispositif n'est pas sécurisé car certaines commandes fonctionnent sans mot de passe. L'une de ces commandes s'appelle adminip et peut être utilisée pour modifier le paramètre du point de terminaison de l'API sur le traceur GPS - en d'autres termes, l'IP du serveur de contrôle. Un attaquant peut demander à un traqueur GPS de contacter son propre serveur à la place, puis de transmettre la communication par proxy au vrai serveur, ce qui permet d'obtenir une position man-in-the-middle. Ce problème est répertorié sous le nom de CVE-2022-2141 et est également considéré comme critique.
Une vulnérabilité cachée dans l’interface web
En outre, les chercheurs ont découvert une faille XSS (cross-site scripting) dans l'interface web (CVE-2022-2199) qui pourrait permettre à des attaquants de détourner des sessions d'utilisateurs en les incitant à ouvrir des liens spécifiquement conçus, ainsi que deux problèmes de référence directe à des objets non sécurisés (CVE-2022-34150 et CVE-2022-33944) qui pourraient permettre à un utilisateur authentifié d'accéder aux informations d'autres comptes en modifiant certains paramètres dans leurs requêtes. Micodus affirme avoir 1,5 million de dispositifs de suivi GPS déployés chez 420 000 clients dans le monde, mais on ignore combien d'entre eux sont des MV720 ou sont utilisés pour le contrôle de la flotte.
Le tracker peut fonctionner avec l'application Micodus. (Crédit : Micodus)
BitSight a analysé les données de trafic DNS vers le serveur de contrôle Micodus et a observé une moyenne de 7 488 connexions par jour au service sur le port TCP 7700 à partir de 525 856 adresses IP uniques. Comme il s'agit d'appareils cellulaires dotés d'une carte SIM, leur adresse IP peut souvent changer, de sorte que le nombre d'adresses IP uniques ne correspond pas nécessairement au nombre d'appareils uniques contactant le serveur. Toutefois, sur la base d'une analyse des données, les chercheurs estiment que les pays qui comptent le plus grand nombre d'appareils uniques sont la Russie, le Maroc, le Chili, le Brésil, l'Ouzbékistan, l'Afrique du Sud, l'Ukraine, la Pologne, l'Italie et le Mexique. En Amérique du Nord, le Mexique est suivi par les États-Unis pour le nombre le plus élevé d'appareils déployés.
Un impact direct sur plusieurs secteurs
Par secteur, les dix premiers utilisateurs se répartissent entre les administrations publiques, les services aux entreprises, l'industrie manufacturière, la finance, l'énergie/les ressources, les services publics, les biens de consommation, la vente au détail, l'éducation et les transports. Parmi les cibles, le spécialiste de la sécurité cite des gouvernements en Europe et au Moyen-Orient, des forces armées, un opérateur de centrale nucléaire et des industries.
« Bien que les traceurs GPS existent depuis de nombreuses années, la fabrication rationalisée de ces dispositifs les a rendus accessibles à tous », ont déclaré les chercheurs. « Avoir un tableau de bord centralisé pour surveiller les trackers GPS avec la possibilité d'activer ou de désactiver un véhicule, de surveiller la vitesse, les itinéraires et de tirer parti d'autres fonctionnalités est utile pour de nombreuses personnes et organisations. Malheureusement, le Micodus MV720 ne dispose pas des protections de sécurité de base nécessaires pour protéger les entreprises contre de graves problèmes de sécurité. BitSight recommande aux personnes et aux entreprises qui utilisent actuellement les dispositifs de suivi GPS Micodus MV720 de désactiver ces dispositifs jusqu'à ce qu'un correctif soit disponible ».