Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) пополнило свой каталог известных эксплуатируемых уязвимостей (Known Exploited Vulnerabilities, KEV), включив в него CVE-2023-52163. Эта проблема безопасности затрагивает устаревшие IP-камеры Digiever DS-2105 Pro и связана с недостатками авторизации и возможностью внедрения команд.
Детали уязвимости
Уязвимость существует в веб-интерфейсе камер, в частности, в скрипте "time_tzsetup.cgi". Основная проблема заключается в отсутствии должной проверки и авторизации пользовательского ввода. В результате злоумышленник, имеющий доступ к веб-интерфейсу устройства, может отправлять специально сформированные HTTP-запросы, содержащие команды операционной системы.
Серьезность ситуации усугубляется тем, что эти команды выполняются с привилегиями самого устройства. Таким образом, злонамеренный актор (malicious actor) может получить полный контроль над камерой. Возможные последствия включают кражу видеопотоков, использование устройства в качестве точки входа в корпоративную сеть, а также его вовлечение в ботнеты для проведения распределенных атак типа "отказ в обслуживании" (DDoS). Критически важно отметить, что, по имеющимся данным, эта уязвимость уже активно эксплуатируется в реальных атаках.
Особое внимание CISA обращает на статус поддержки затронутых устройств. Уязвимость затрагивает камеры Digiever DS-2105 Pro с версией прошивки 3.1.0.71-11 и, предположительно, более ранними. Производитель, компания Digiever, официально прекратил поддержку этой модели. Это означает, что патч или официальное исправление для устранения CVE-2023-52163 выпущены не будут. Следовательно, устройства остаются небезопасными навсегда.
Добавление уязвимости в каталог KEV - это не просто информирование. Для федеральных гражданских исполнительных органов США (FCEB) это обязательное к исполнению указание. Агентство требует от этих организаций выполнить необходимые действия по устранению рисков, связанных с CVE-2023-52163, до 25 апреля 2024 года. Хотя директив CISA формально не распространяется на частный сектор и другие организации, каталог KEV широко признан авторитетным списком критических угроз. Таким образом, его обновление служит мощным сигналом для всех компаний по всему миру.
Эксперты в области безопасности настоятельно рекомендуют всем владельцам и администраторам затронутых камер Digiever DS-2105 Pro принять немедленные меры. Поскольку официального исправления не существует, единственным эффективным способом устранения уязвимости является вывод устройств из эксплуатации и их замена на современные, поддерживаемые модели. Временной мерой может стать полная изоляция камер в отдельном сегменте сети с строгим контролем входящего и исходящего трафика. Однако это не устраняет коренную проблему, а лишь снижает потенциальный ущерб.
Данный случай ярко иллюстрирует классическую проблему "оконечных" устройств Интернета вещей (IoT). Многие подобные продукты, особенно из бюджетного сегмента, имеют ограниченный жизненный цикл поддержки. После его окончания они превращаются в постоянный источник киберрисков. Злоумышленники целенаправленно сканируют интернет в поисках таких устаревших и уязвимых устройств, чтобы использовать их в своих целях.
В заключение, обнаружение и активная эксплуатация CVE-2023-52163 - это серьезный сигнал для индустрии. Он подчеркивает важность ответственного подхода к жизненному циклу продуктов со стороны производителей и необходимость для покупателей учитывать долгосрочные обязательства по обновлениям безопасности. Для организаций, которые до сих пор используют устаревшие камеры Digiever, настало время для безотлагательных действий по обновлению своей инфраструктуры видеонаблюдения.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2023-52163
- https://www.txone.com/blog/digiever-fixes-sorely-needed/
- https://www.akamai.com/blog/security-research/digiever-fix-that-iot-thing
- https://1275.ru/ioc/kiberprestupniki-proveli-globalnuyu-testovuyu-ataku-na-iot-ustroystva-vo-vremya-sboya-aws_16664
