Az amerikai kormányzati kiberügynökség, a CISA (Cybersecurity and Infrastructure Security Agency) több biztonsági résre figyelmeztet, a több mint 1,5 millió járműben használt MiCODUS MV720 GPS nyomkövetőket érintően.
A MiCODUS MV720 egy népszerű, Kínában gyártott GPS nyomkövető, amelyet a fogyasztók lopásvédelemre és helymeghatározásra, a szervezetek pedig járműflotta kezelésre használnak. Az eszközt ma körülbelül 420 000 ügyfél használja számos iparágban, köztük kormányzati, katonai és bűnüldöző szervek, valamint több Fortune 1000 vállalat is.
A BitSight által felfedezett hibákat ─ CVE-2022-2107 (9,8 CVSS), CVE-2022-2141 (9,8 CVSS), CVE-2022-2199 (7,5 CVSS), CVE-2022-34150 (7,1 CVSS) és CVE-2022-33944 (6,5 CVSS) ─ kihasználva egy támadó távolról megzavarhatja az érintett járművek kritikus funkcióit. A hat felfedezett sebezhetőség sikeres kihasználása lehetővé teszi a támadók számára, hogy hozzáférjenek a jármű GPS rendszeréhez, hatással lehetnek a jármű üzemanyag ellátására, a járművezérlésre, és akár távolról meg is tudják állítani a járművet.
A BitSight azt javasolja a felhasználóknak, hogy a hiba súlyossága miatt azonnal tiltsák le a MiCODUS MV720 GPS nyomkövetők használatát addig, amíg a gyártó nem orvosolja a problémákat.
