Поделиться
Автомобили в 170 странах мира можно удаленно обездвижить из-за «дыр» в китайских гаджетах
Критические уязвимости в популярнейшей встраиваемой системе MiCodus MV720 позволяют потенциальным злоумышленникам удаленно парализовывать транспортные средства. Сообщение об уязвимостях в MiCodus игнорируют.
Стоп машина
Ряд уязвимостей во встраиваемых сетевых устройствах для автомобилей производства китайской фирмы MiCodus ставят под угрозу транспортные средства во всем мире. В первую очередь речь проблема затрагивает грузовики.
MiCodusMV720 — это встраиваемая платформа, обеспечивающая возможность удаленного отслеживания транспортных средств по GPS. Кроме того, MV720 позволяет удаленно же блокировать подачу топлива к двигателю, тем самым делая эксплуатацию автомобиля невозможной.
Как выяснили эксперты фирмы BitSight, у злоумышленников есть возможность перехватывать управление этими функциями из-за серьезных уязвимостей в MV720. Тем самым появляется угроза здоровью и жизни водителей, не говоря уже о возможности нарушать транспортные цепочки.
«Уязвимости, обнаруженные BitSight, могут оказывать прямое воздействие на физический мир, что может иметь катастрофические последствия для людей и организаций, если их не исправить, — заявил исполнительный директор BitSight Стивен Харви (Stephen Harvey). — Внедрение таких подключенных устройств как GPS-трекер MiCodus расширяет поверхность атаки на организации и подвергает индивидуальных потребителей новым угрозам».
9,8 баллов и огромная поверхность атаки
Специалисты BitSight и Агентства по безопасности инфраструктуры США (CISA) приняли решение раскрыть информацию об уязвимостях в MV720 после того, как в MiCodus проигнорировали все сообщения о выявленных проблемах.
Между тем, как минимум две из шести выявленных уязвимостей — CVE-2022-2107 и CVE-2022-2141 — получили оценку 9,8 из 10 баллов по шкале угроз CVSS. То есть, речь идет о критических угрозах.
Проблема усугубляется тем, что устройства MiCodus пользуются огромной популярностью. В BitSight насчитали 2 354 603 регулярных соединений с центральным сервером MiCodus, исходящих из 169 стран мира. Среди пользователей разработок этой фирмы — «энергетическая компания из списка Fortune 50, военные организации в Южной Америке, правительство страны в Западной Европе, правоохранительные органы в Западной Европе и оператор атомной электростанции».
Эксперты BitSight также указывают, что MV720 — это базовая и самая бюджетная версия трекера (ее стоимость — всего $20), однако есть и другие, и скорее всего они столь же уязвимы.
«Степень угрозы любой уязвимости кратна популярности устройства или программы, в которой она выявлена, — говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. — И в данном случае речь идет о проблеме глобального масштаба. Кстати, в пресс-релизе BitSight содержатся намеки на то, что уязвимость могла появиться не совсем случайно, хоть и без доказательств. В любом случае, возможность несанкционированного удаленного управления автотранспортом есть нечто совершенно недопустимое с точки зрения базовой безопасности, физической и цифровой».
Патчей к уязвимостям на данный момент не существует, и, учитывая реакцию (вернее, ее отсутствие) со стороны вендора, рассчитывать на них не приходится.
Поделиться
Короткая ссылка
