CISA dopisuje DigiEver DS-2105 Pro do KEV: CVE-2023-52163 aktywnie wykorzystywana, a sprzęt jest EOL - Security Bez Tabu

CISA dopisuje DigiEver DS-2105 Pro do KEV: CVE-2023-52163 aktywnie wykorzystywana, a sprzęt jest EOL

Wprowadzenie do problemu / definicja luki

CVE-2023-52163 to podatność w rejestratorach wideo NVR/DVR DigiEver DS-2105 Pro, którą CISA uznała za aktywnie wykorzystywaną w atakach i dodała do katalogu Known Exploited Vulnerabilities (KEV) 22 grudnia 2025 r. (z federalnym terminem działań do 12 stycznia 2026 r.).

Problem jest szczególnie niebezpieczny, bo dotyczy urządzeń z obszaru fizycznego bezpieczeństwa (monitoring IP) — a te często stoją „na uboczu” procesów patch managementu.

W skrócie

  • Co to jest? Luka umożliwiająca wykonanie poleceń systemu (command injection) powiązana z brakami w autoryzacji (CWE-862) w DS-2105 Pro.
  • Identyfikator: CVE-2023-52163, CVSS 3.1: 8.8 (High) wg danych CISA-ADP w NVD.
  • Wektor/warunki: sieć, niska złożoność, zwykle wymagane „niskie uprawnienia” (np. zalogowanie / ważna sesja), co w praktyce bywa osiągane przez domyślne hasła lub przejęte konta.
  • Status naprawy: urządzenie/linia jest EOL; sygnalizowany brak wsparcia i poprawek od producenta.
  • Dlaczego teraz głośno? Bo KEV = „to nie jest teoria” — jest dowód realnej eksploatacji, a kampanie IoT/botnetowe już wcześniej celowały w te klasy urządzeń.

Kontekst / historia / powiązania

Geneza tematu sięga badań i obserwacji ruchu botnetowego. Akamai opisało, że ich zespół SIRT zauważył próby wykorzystania podatności przeciw urządzeniom DigiEver w honeypotach już 18 listopada 2024 r., łącząc je z kampanią Mirai oraz modyfikacjami malware (m.in. nowsze algorytmy szyfrowania).

TXOne (autor badań Ta-Lun Yen) wskazywał, że błędy były raportowane wcześniej (2023), a odpowiedź producenta miała sprowadzać się do stwierdzenia, że produkt jest „off the shelf” od lat, co utrudnia liczenie na oficjalny fix.

W grudniu 2025 r. temat wraca na czołówki, bo CISA dopisuje CVE-2023-52163 do KEV, formalnie podbijając priorytet usuwania/mitigacji w organizacjach.

Analiza techniczna / szczegóły luki

Co psuje się w praktyce?
Opis podatności wskazuje na możliwość command injection w kontekście CGI — w szczególności w komponencie/akcji powiązanej z time_tzsetup.cgi (konfiguracja czasu/strefy/NTP).

Dlaczego „Missing Authorization”, skoro mówimy o command injection?
W danych NVD/CISA-ADP podatność ma nazwę „Missing Authorization” oraz klasyfikację CWE-862, co sugeruje, że istotnym elementem jest kontrola dostępu do funkcji/endpointu (kto może wywołać daną akcję), a dopiero potem wchodzi warstwa walidacji danych wejściowych, która umożliwia wstrzyknięcie poleceń. W skrócie: nie tylko da się wstrzyknąć komendę — jest jeszcze problem „kto i kiedy” może w ogóle dotknąć tej funkcji.

Warunki ataku (praktycznie):

  • Wektor sieciowy, niska złożoność.
  • Wymóg „low privileges” pasuje do scenariusza: atakujący zdobywa dostęp do panelu (np. hasła domyślne, wyciek, brute-force) i wykonuje spreparowane żądania do CGI.

Praktyczne konsekwencje / ryzyko

Skuteczna eksploatacja może prowadzić do:

  • Przejęcia rejestratora (wykonanie poleceń systemu z uprawnieniami procesu web/CGI).
  • Utraty poufności i integralności: podmiana konfiguracji, dostęp do nagrań, manipulacja ustawieniami kamer, potencjalny dostęp do sieci, w której stoi NVR.
  • Wciągnięcia do botnetu IoT (Mirai i pochodne), co oznacza ryzyko DDoS, skanowania, dalszej propagacji oraz „pivotu” do innych zasobów.
  • Ryzyka trwałego, bo mówimy o sprzęcie EOL: brak łatki oznacza, że luka nie „zniknie” wraz z kolejną aktualizacją — trzeba ją „odciąć” kontrolami kompensującymi albo wymienić urządzenie.

Rekomendacje operacyjne / co zrobić teraz

Jeśli masz (lub podejrzewasz, że masz) DS-2105 Pro w środowisku:

  1. Inwentaryzacja i ekspozycja
  • Znajdź urządzenia w CMDB/scanach, sprawdź, czy interfejs WWW/zarządzania nie jest wystawiony do Internetu (to najczęstszy „game over” w IoT).
  1. Redukcja powierzchni ataku (najważniejsze, gdy brak patchy)
  • Usuń publiczną ekspozycję, wymuś dostęp wyłącznie z sieci zaufanej/VPN, odseparuj VLAN-em, postaw reverse proxy/gateway przed panelem zarządzania. To dokładnie ten typ mitigacji rekomendowany przez badaczy, gdy producent nie dostarcza poprawek.
  1. Higiena dostępu
  • Zmień domyślne loginy/hasła, wyłącz zbędne konta, ogranicz liczbę administratorów, rozważ IP allowlist do panelu.
  1. Detekcja na brzegu
  • Jeżeli używasz IPS/NGFW, sprawdź dostępność sygnatur pod CVE-2023-52163 (np. Check Point publikuje informację o ochronie IPS i konieczności aktualizacji pakietów IPS).
  1. Decyzja strategiczna: wymiana
  • Ponieważ to EOL i KEV (aktywnie wykorzystywane), w wielu środowiskach sensowną decyzją jest wycofanie urządzeń lub zastąpienie ich modelem z aktywnym wsparciem. Wprost w danych KEV/NVD pojawia się zalecenie „zastosuj mitigacje albo zakończ używanie produktu, jeśli mitigacje są niedostępne”.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

Ten przypadek jest „podręcznikowy” dla IoT:

  • Botnety w stylu Mirai rutynowo polują na urządzenia brzegowe (routery, DVR/NVR, kamery), bo są masowe, często źle zarządzane i długo żyją bez aktualizacji. Akamai opisało kampanię, w której obok DigiEver celem były też inne urządzenia IoT (np. znane CVE w sprzęcie sieciowym).
  • Różnica w porównaniu do klasycznych podatności serwerowych jest taka, że tu cykl życia sprzętu (EOL) jest kluczową częścią ryzyka: nawet świetny zespół SOC nie „załata” produktu, którego producent już nie wspiera.

Podsumowanie / kluczowe wnioski

  • CVE-2023-52163 (DS-2105 Pro) trafiła do CISA KEV 22.12.2025, co potwierdza realną eksploatację w atakach; termin dla agencji federalnych to 12.01.2026.
  • Luka łączy problem kontroli dostępu (Missing Authorization / CWE-862) z możliwością command injection w funkcjach CGI (m.in. time_tzsetup.cgi).
  • To sprzęt klasy IoT/NVR, często EOL — dlatego priorytetem są odcięcie ekspozycji, segmentacja, twarde restrykcje dostępu i plan wymiany.

Źródła / bibliografia

  1. Security Affairs – informacja o dopisaniu do KEV i opis wpływu na DS-2105 Pro. (Security Affairs)
  2. NVD (NIST) – CVE-2023-52163, metryki CVSS, wpis o KEV (date added, due date, required action), CWE-862. (NVD)
  3. Akamai SIRT – obserwacje eksploatacji w honeypotach i kontekst botnetowy (Mirai). (Akamai)
  4. TXOne Research – tło odkrycia, zakres, odniesienia do CVE-2023-52163/52164 i mitigacje operacyjne (bez wystawiania do Internetu, zmiana haseł). (txone.com)
  5. Check Point Advisory – potwierdzenie charakteru command injection i informacje o ochronie IPS. (Check Point Software)