国产MiCODUS GPS车载定位器多安全漏洞，影响全球150万车辆

国产MiCODUS GPS MV720定位器多安全漏洞，可获取管理员权限，影响全球150万车辆。

MiCODUS是广东深圳MiCODUS电子公司生产的一款廉价的车载定位器，售价仅20美元，具有可靠的基于蜂窝的定位追踪功能，是一款非常流行的车载定位器。

BitSight研究人员在一款MiCODUS 车载GPS追踪器——MV720中发现了多个安全漏洞，影响全球169个国家的150万车辆，涉及财富50强公司、欧洲政府、美国州、南美军事机构、核电站操作人员。

MiCODUS MV720用户分布

漏洞细节

研究人员在MiCODUS MV720车载定位器中共发现了6个安全漏洞，分别是：

CVE-2022-2107: API服务器上硬编码master口令，CVSS评分9.8分，非认证的远程攻击者可以获取MV720定位器的完全控制权限，执行追踪用户、切断燃油供应等操作。

图 有漏洞的API

CVE-2022-2141: 认证方案安全漏洞，CVSS 评分9.8分，任意用户通过SMS发送命令给GPS追踪器，并可以以管理员权限运行命令。

图 支持的管理员SMS命令

弱口令（未分配CVE编号）：所有MV720定位器的默认密码都是123456，且没有强制规则要求用户在设备初始化后修改密码。

CVE-2022-2199: 主web服务器反射XSS漏洞，CVSS评分7.5分，攻击者利用该漏洞可以访问用户账户，与APP进行交互，查看用户所有信息。

CVE-2022-34150:主web服务器上不安全的直接对象引用，CVSS评分7.1分，允许登录用户访问服务器数据库的任意数据

CVE-2022-33944: 主web服务器上不安全的直接对象引用，CVSS评分6.5分，未认证的用户可以生成关于GPS定位器活动的Excel报告。

图 访问用户位置和移动信息

BitSight 研究人员发布了5个漏洞的PoC代码，证明漏洞可以被利用。

漏洞修复情况

研究人员早在2021年9月9日发现了该安全漏洞，并与MiCODUS联系，但未找到接收安全报告的人。2022年1月14日，BitSight将该漏洞技术细节分享给了美国国土安全局。

截止目前，仍然没有发布补丁，MiCODUS MV720 GPS定位器仍然受到以上安全漏洞的影响。研究人员建议用户禁用该设备，以免受潜在的安全威胁。