آسیب‌پذیری Digiever DS-2105 Pro در کاتالوگ KEV ثبت شد

آسیب‌پذیری Digiever DS-2105 Pro در کاتالوگ KEV ثبت شد
CISA آسیب‌پذیری CVE-2023-52163 در دستگاه Digiever DS-2105 Pro را به دلیل سوءاستفاده عملی به فهرست KEV اضافه کرد و ضرب‌الاجل اصلاح تعیین شد.

آژانس امنیت سایبری و زیرساخت ایالات متحده CISA اعلام کرد آسیب‌پذیری CVE-2023-52163 در دستگاه ذخیره‌ساز و ضبط ویدئویی Digiever مدل DS-2105 Pro به «کاتالوگ آسیب‌پذیری‌های دارای سوءاستفاده عملی» (KEV) افزوده شده است. این نقص از نوع Missing Authorization (CWE-862) بوده و می‌تواند از طریق فایل time_tzsetup.cgi به تزریق فرمان منجر شود. طبق اعلام CISA، سازمان‌ها موظف‌اند حداکثر تا ۲۲ دی ۱۴۰۴ / ۱۲ ژانویه ۲۰۲۶ اقدامات اصلاحی یا کاهشی توصیه‌شده را اعمال کنند.

۱) کاتالوگ KEV چیست و چرا اهمیت دارد؟

کاتالوگ Known Exploited Vulnerabilities (KEV) مرجع رسمی CISA برای فهرست‌کردن آسیب‌پذیری‌هایی است که شواهد معتبر از سوءاستفاده عملی در دنیای واقعی از آن‌ها وجود دارد. هدف از این فهرست، کمک به تیم‌های امنیتی و مدیران شبکه برای اولویت‌بندی مدیریت آسیب‌پذیری‌ها و همگام‌شدن با فعالیت‌های تهدید است. ورود یک CVE به KEV به‌معنای آن است که تعویق در اصلاح، ریسک عملیاتی و امنیتی بالایی ایجاد می‌کند.

۲) جزئیات فنی CVE-2023-52163

  • محصول آسیب‌پذیر: Digiever DS-2105 Pro
  • نوع ضعف: Missing Authorization
  • شناسه CWE: کد CWE-862
  • بردار حمله: امکان اجرای تزریق فرمان از طریق اسکریپت time_tzsetup.cgi
  • وضعیت سوءاستفاده: تأیید سوءاستفاده عملی (Exploited in the Wild)
  • ارتباط با باج‌افزار: نامشخص (Unknown)

این نقص به مهاجم اجازه می‌دهد بدون احراز مجوز مناسب، به مسیرهای حساس دسترسی پیدا کند و در سناریوهای خاص، دستورات دلخواه را اجرا نماید؛ موضوعی که در تجهیزات لبه‌ای (Edge Devices) و سامانه‌های نظارت تصویری می‌تواند پیامدهای جدی داشته باشد.

۳) چرا تجهیزات NVR هدف جذابی هستند؟

دستگاه‌های NVR/DVR به‌طور معمول:

  • به اینترنت متصل‌اند یا از راه دور مدیریت می‌شوند؛
  • به‌روزرسانی‌های نامنظم دارند؛
  • در شبکه‌های سازمانی یا صنعتی جای گرفته‌اند.

این ویژگی‌ها آن‌ها را به نقاط نفوذ اولیه برای مهاجمان تبدیل می‌کند؛ به‌ویژه زمانی که نقص‌های احراز مجوز وجود داشته باشد.

۴) الزامات CISA و ضرب‌الاجل اصلاح

CISA برای این CVE موارد زیر را الزامی دانسته است:

  • اجرای دستورالعمل‌های کاهشی یا اصلاحی سازنده (در صورت وجود)؛
  • رعایت BOD 22-01 برای سرویس‌های ابری مرتبط؛
  • خارج‌کردن محصول از سرویس در صورتی که اصلاح یا کاهش ریسک امکان‌پذیر نباشد.

تاریخ افزودن به KEV: تاریخ ۲۲ دسامبر ۲۰۲۵

مهلت نهایی اقدام: ۱۲ ژانویه ۲۰۲۶

۵) توصیه‌های عملی برای مدیران فنی

  • موجودی‌برداری فوری از دستگاه‌های Digiever DS-2105 Pro در شبکه؛
  • محدودسازی دسترسی مدیریتی از اینترنت (Network Segmentation / ACL)؛
  • بررسی انتشار وصله یا راهکار کاهشی توسط سازنده و اعمال سریع آن؛
  • پایش لاگ‌ها برای نشانه‌های سوءاستفاده احتمالی؛
  • در صورت نبود اصلاح، خاموش‌سازی یا جایگزینی دستگاه.

۶) جمع‌بندی

افزوده‌شدن CVE-2023-52163 به کاتالوگ KEV پیام روشنی دارد: این نقص در عمل مورد سوءاستفاده قرار گرفته و بی‌توجهی به آن می‌تواند به نفوذ و اجرای فرمان در تجهیزات نظارتی منجر شود. سازمان‌هایی که از DS-2105 Pro استفاده می‌کنند باید این مورد را در بالاترین اولویت مدیریت آسیب‌پذیری قرار دهند و پیش از فرارسیدن ضرب‌الاجل، اقدامات اصلاحی لازم را انجام دهند.

6 دی 1404

2بازدید