公開日:2022/07/20 最終更新日:2022/07/20

JVNVU#96012874
MiCODUS製MV720 GPSトラッカーにおける複数の脆弱性

概要

MiCODUSが提供するMV720 GPSトラッカーには、複数の脆弱性が存在します。

影響を受けるシステム

  • MV720

詳細情報

MiCODUSが提供するMV720 GPSトラッカーには、次の複数の脆弱性が存在します。

  • ハードコードされた認証情報の使用 (CWE-798) - CVE-2022-2107
  • 不適切な認証 (CWE-287) - CVE-2022-2141
  • クロスサイトスクリプティング (CWE-79) - CVE-2022-2199
  • ユーザ識別情報操作による権限チェック回避 (CWE-639) - CVE-2022-34150、CVE-2022-33944

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 遠隔の第三者によって、APIサーバの認証情報を窃取され、SMSコマンドを当該製品に直接送信される - CVE-2022-2107
  • 遠隔の第三者によって、SMSベースのGPSコマンドを認証なしで実行される - CVE-2022-2141
  • 遠隔の第三者によって、製品を不正に操作される - CVE-2022-2199
  • 遠隔のユーザによって、製品のデバイスIDを偽装されることでWebサーバ上での権限チェックを回避される - CVE-2022-34150、CVE-2022-33944

対策方法

2022年7月20日現在、開発者によるアップデートまたはパッチは提供されていません。

ベンダ情報

参考情報

  1. ICS Advisory (ICSA-22-200-01)
    MiCODUS MV720 GPS tracker

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia