Агентство по кибербезопасности и защите инфраструктуры США (CISA) официально внесло новую запись в каталог известных эксплуатируемых уязвимостей (KEV). Решение было принято на основании подтвержденных доказательств того, что данная брешь в безопасности активно используется злоумышленниками в реальных атаках. Основное внимание уделено сетевым видеорегистраторам (NVR), которые, несмотря на прекращение поддержки, остаются подключенными к сетям организаций.
Проблемным устройством является сетевой видеорегистратор DS-2105 Pro, производимый компанией Digiever. Ситуация осложняется тем, что данный продукт имеет статус End-of-Life (EoL), что означает официальное прекращение его жизненного цикла. Из-за этого статуса производитель не выпускает обновления безопасности, и устройство остается неисправленным, подвергая пользователей значительному риску компрометации системы.
Основная уязвимость получила идентификатор CVE-2023-52163 и высокую оценку серьезности по шкале CVSS — 8.8 балла. Дефект классифицируется как инъекция команд из-за отсутствия надлежащей авторизации. Технический вектор атаки осуществляется через скрипт
Помимо основной угрозы, в видеорегистраторах обнаружена вторичная уязвимость с идентификатором CVE-2023-52164 и оценкой CVSS 5.1 балла. Эта ошибка позволяет злоумышленникам осуществлять произвольное чтение файлов. Как и в случае с критической ошибкой, данный дефект также остается неисправленным по причине завершения поддержки продукта производителем.
Исследования данной проблемы проводились специалистами TXOne Research, в частности исследователем по имени Та-Лун Йен (Ta-Lun Yen). Данные об активных угрозах также подтверждаются отчетами от крупных компаний в сфере кибербезопасности, таких как Akamai и Fortinet. Эксперты фиксируют рост активности хакерских группировок, нацеленных на использование этих брешей в защите устаревшего оборудования.
Злоумышленники используют найденные уязвимости для распространения вредоносного программного обеспечения. В частности, зафиксировано использование эксплойтов для доставки полезной нагрузки ботнетов Mirai и ShadowV2. Эти ботнеты традиционно используются для организации DDoS-атак и дальнейшего распространения вредоносного ПО внутри скомпрометированных сетей.
В отсутствие официальных исправлений от производителя эксперты рекомендуют принять немедленные меры по снижению рисков. Главным советом является исключение возможности доступа к устройству из глобальной сети Интернет. Кроме того, администраторам настоятельно рекомендуется сменить имена пользователей и пароли, установленные по умолчанию, чтобы затруднить процесс первичной авторизации злоумышленников.
В соответствии с федеральным мандатом, гражданские агентства исполнительной власти (FCEB) обязаны отреагировать на угрозу в строго установленные сроки. Им предписано либо применить доступные методы смягчения последствий, либо полностью прекратить использование уязвимых продуктов Digiever. Крайний срок выполнения данного требования установлен на 12 января 2025 года.
Изображение носит иллюстративный характер
Проблемным устройством является сетевой видеорегистратор DS-2105 Pro, производимый компанией Digiever. Ситуация осложняется тем, что данный продукт имеет статус End-of-Life (EoL), что означает официальное прекращение его жизненного цикла. Из-за этого статуса производитель не выпускает обновления безопасности, и устройство остается неисправленным, подвергая пользователей значительному риску компрометации системы.
Основная уязвимость получила идентификатор CVE-2023-52163 и высокую оценку серьезности по шкале CVSS — 8.8 балла. Дефект классифицируется как инъекция команд из-за отсутствия надлежащей авторизации. Технический вектор атаки осуществляется через скрипт
time_tzsetup.cgi. Для успешной эксплуатации злоумышленник должен пройти аутентификацию и отправить специально сформированный запрос, что в итоге приводит к удаленному выполнению кода (RCE) на устройстве. Помимо основной угрозы, в видеорегистраторах обнаружена вторичная уязвимость с идентификатором CVE-2023-52164 и оценкой CVSS 5.1 балла. Эта ошибка позволяет злоумышленникам осуществлять произвольное чтение файлов. Как и в случае с критической ошибкой, данный дефект также остается неисправленным по причине завершения поддержки продукта производителем.
Исследования данной проблемы проводились специалистами TXOne Research, в частности исследователем по имени Та-Лун Йен (Ta-Lun Yen). Данные об активных угрозах также подтверждаются отчетами от крупных компаний в сфере кибербезопасности, таких как Akamai и Fortinet. Эксперты фиксируют рост активности хакерских группировок, нацеленных на использование этих брешей в защите устаревшего оборудования.
Злоумышленники используют найденные уязвимости для распространения вредоносного программного обеспечения. В частности, зафиксировано использование эксплойтов для доставки полезной нагрузки ботнетов Mirai и ShadowV2. Эти ботнеты традиционно используются для организации DDoS-атак и дальнейшего распространения вредоносного ПО внутри скомпрометированных сетей.
В отсутствие официальных исправлений от производителя эксперты рекомендуют принять немедленные меры по снижению рисков. Главным советом является исключение возможности доступа к устройству из глобальной сети Интернет. Кроме того, администраторам настоятельно рекомендуется сменить имена пользователей и пароли, установленные по умолчанию, чтобы затруднить процесс первичной авторизации злоумышленников.
В соответствии с федеральным мандатом, гражданские агентства исполнительной власти (FCEB) обязаны отреагировать на угрозу в строго установленные сроки. Им предписано либо применить доступные методы смягчения последствий, либо полностью прекратить использование уязвимых продуктов Digiever. Крайний срок выполнения данного требования установлен на 12 января 2025 года.
