关键信息 1. 漏洞概述 漏洞名称: SinoTrack GPS Receiver 发布日期: June 10, 2020 警报代码: ICSA-20-163-01 相关主题: 工业控制系统、系统和设备、工业控制系统 2. 执行摘要 CVSS v4 基本评分: 8.8 注意: 可远程利用/低攻击复杂度 供应商: SinoTrack 设备: 未知的SinoTrack设备 漏洞: 弱认证、可观察响应差异 3. 风险评估 成功利用这些漏洞可能允许攻击者通过常见的Web管理接口访问设备配置文件,而无需授权。对设备配置文件的访问可能允许攻击者在连接的车辆上执行一些远程功能,例如跟踪车辆位置和断开燃油泵电源(如果支持)。 4. 技术细节 4.1 受影响的产品 SinoTrack IoT PC平台:所有版本 4.2 漏洞概述 4.2.1 弱认证 CWE-1390 用户名和密码是硬编码的,用于访问中央SinoTrack设备管理界面。 默认密码未在设备设置中进行强化。 攻击者可以通过物理访问或从设备上公开可用的网站捕获标识符来识别其他设备。 4.2.2 可观察响应差异 CWE-204 用户名用于访问Web管理界面仅限于设备标识符,这是一个不超过10位数字的数值ID。 恶意行为者可以通过递增或重叠来自不同随机数字序列的潜在目标来发起潜在攻击。 5. 背景 关键基础设施部门: 通信 部署国家/地区: 全球 公司总部位置: 中国 6. 研究员 Raúl Ignacio Cruz Jiménez向CISA报告了这些漏洞。 7. 缓解措施 SinoTrack尚未回应CISA请求以协调。 CISA建议用户采取防御措施以最小化这些漏洞被利用的风险。 更改默认密码为唯一、复杂的密码。 隐藏设备标识符。 CISA鼓励组织实施推荐的ICS安全策略以积极防御ICS资产。 8. 更新历史 June 10, 2020: 初始发布