سازمان Cybersecurity and Infrastructure Security Agency (CISA) آمریکا یک آسیبپذیری مربوط به دستگاه Digiever DS-2105 Pro را به فهرست Known Exploited Vulnerabilities (KEV) اضافه کرده است. این آسیبپذیری با شناسه CVE-2023-52163 و امتیاز CVSS برابر با ۸.۸ ردیابی میشود.
Digiever DS-2105 Pro یک دستگاه Network Video Recorder (NVR) برای نظارت تصویری مبتنی بر IP Camera است که بهعنوان یک سیستم مستقل مبتنی بر لینوکس عمل میکند و وظیفه ضبط و مدیریت همزمان ویدیو از چندین دوربین در بستر شبکه را بر عهده دارد. کاربران میتوانند تصاویر زنده یا ضبطشده را بهصورت محلی یا از راه دور از طریق رابط وب مشاهده کنند. این دستگاهها معمولاً در پروژههای امنیتی کوچک تا متوسط مورد استفاده قرار میگیرند.
دستگاههای Digiever DS-2105 Pro که از نسخه فریمور ۳.۱.۰.۷۱-۱۱ استفاده میکنند، دارای یک آسیبپذیری Command Injection در اسکریپت CGI با نام time_tzsetup.cgi هستند. مهاجم میتواند با ارسال درخواستهای HTTP دستکاریشده، ورودی مخرب را تزریق کرده و دستورات دلخواه سیستمعامل را اجرا کند؛ چرا که این ورودیها بهدرستی اعتبارسنجی یا فیلتر نمیشوند.
در صورت اکسپلویت شدن، این آسیبپذیری به مهاجم از راه دور اجازه میدهد دستورات سیستم را با سطح دسترسی سرویس وب اجرا کند. این موضوع میتواند منجر به تصاحب کامل دستگاه شود؛ از جمله دسترسی غیرمجاز، تغییر تنظیمات، افشای دادهها یا استفاده از دستگاه بهعنوان نقطه پرش (Pivot) برای حملات بعدی در شبکه.
نکته مهم این است که این مشکل فقط محصولات End-of-Life (EoL) را تحت تأثیر قرار میدهد؛ محصولاتی که دیگر توسط Digiever پشتیبانی یا وصله امنیتی دریافت نمیکنند. بنابراین هیچ بهروزرسانی رسمی برای رفع این نقص ارائه نخواهد شد و دستگاهها بدون اعمال کنترلهای جبرانی، بهصورت دائمی آسیبپذیر باقی میمانند.
بر اساس دستورالعمل Binding Operational Directive (BOD) 22-01 با عنوان Reducing the Significant Risk of Known Exploited Vulnerabilities، تمامی آژانسهای فدرال غیرنظامی آمریکا (FCEB) موظف هستند آسیبپذیریهای شناساییشده در این فهرست را تا مهلت تعیینشده برطرف کنند تا ریسک حملات فعال کاهش یابد.
همچنین کارشناسان امنیتی به سازمانهای خصوصی توصیه کردهاند که فهرست KEV را بررسی کرده و آسیبپذیریهای موجود در زیرساخت خود را در اسرع وقت برطرف کنند.
CISA به آژانسهای فدرال دستور داده است که این آسیبپذیری را حداکثر تا تاریخ ۱۲ ژانویه ۲۰۲۶ برطرف کنند.
یک نظر