Resumen Ejecutivo
Se ha detectado una vulnerabilidad crítica en todos los dispositivos Sinotrack, con una puntuación CVSS V4 de 8.8, que permite acceso remoto y posee una complejidad de ataque baja. Esta vulnerabilidad, resultante de una autenticación débil y una discrepancia en la respuesta observable, puede ser explotada facilmente por un atacante con el acceso a la interfaz de administración web.
Evaluación de Riesgos
La explotación de estas vulnerabilidades permitirá a los atacantes acceder a los perfiles de dispositivos sin autorización, lo que podría habilitar funciones remotas en vehículos conectados, como la localización del vehículo y la desconexión de equipos críticos como la bomba de combustible.
Detalles Técnicos
Productos Afectados
Los dispositivos afectados incluyen la plataforma de PC de IoT de Sinotrack, sin restricción de versiones.
Descripción General de Vulnerabilidades
-
Autenticación Débil (CWE-1390): La autenticación en la interfaz de administración requiere un nombre de usuario y una contraseña; sin embargo, el nombre de usuario es un identificador impreso en el dispositivo y la contraseña predeterminada es ampliamente conocida. La falta de obligatoriedad para cambiar esta contraseña permite a un atacante potencial acceder fácilmente al dispositivo, ya sea obteniendo identificadores físicamente o capturando imágenes de los dispositivos en línea. La vulnerabilidad ha sido identificada como CVE-2025-5484, con una puntuación CVSS V3 de 8.3 y CVSS V4 de 7.6.
- Discrepancia en la Respuesta Observable (CWE-204): Los atacantes pueden enumerar objetivos potenciales al modificar identificadores de dispositivos numéricos limitados a 10 dígitos, facilitando la explotación. Esta vulnerabilidad se ha designado como CVE-2025-5485, con una puntuación CVSS V3 de 8.6 y CVSS V4 de 8.8.
Contexto
Las vulnerabilidades se ubican en sectores de infraestructura crítica y están desplegadas a nivel mundial, con sede en China.
Mitigaciones
Sinotrack no ha respondido a las solicitudes de coordinación de CISA, por lo que se recomienda a los usuarios que tomen medidas para reducir el riesgo. Estas incluyen:
- Cambiar la contraseña predeterminada por una única y compleja a la mayor brevedad posible.
- Proteger el identificador del dispositivo, evitando que esté visible en fotografías de acceso público.
CISA enfatiza la importancia de realizar un análisis de impacto y evaluación de riesgos previos a la implementación de medidas defensivas. También proporciona recursos sobre prácticas recomendadas de ciberseguridad en su página, sugiriendo estrategias para la defensa proactiva de los activos del ICS.
Recomendaciones Adicionales
Además de las mitigaciones inmediatas, las organizaciones deben adoptar prácticas robustas para enfrentar ataques de ingeniería social y estar al tanto de la posibilidad de explotación. Aunque no se ha reportado explotación pública hasta la fecha, es crucial que los usuarios mantengan una postura defensiva.
Historial de Actualización
La publicación inicial de este informe se realizó el 10 de junio de 2025.