CVE-2023-52163

Digiever DS-2105 Pro

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2025-12-22

Официальное описание

Digiever DS-2105 Pro contains a missing authorization vulnerability which could allow for command injection via time_tzsetup.cgi.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость CVE-2023-52163 в видеорегистраторах Digiever (в частности, модели DS-2105 Pro) представляет собой критический недостаток безопасности, связанный с отсутствием проверки авторизации (Missing Authorization) в скрипте time_tzsetup.cgi.

Из-за некорректной обработки пользовательского ввода и отсутствия проверки прав доступа, неаутентифицированный удаленный злоумышленник может отправить специально сформированный HTTP-запрос к уязвимому скрипту. Это позволяет выполнить произвольные команды операционной системы (OS Command Injection) с привилегиями веб-сервера или суперпользователя. В результате атакующий может получить полный контроль над устройством, доступ к видеоархиву, трансляциям, а также использовать NVR как точку входа во внутреннюю сеть компании.

Как исправить

Единственным надежным способом устранения данной уязвимости является обновление прошивки (Firmware) устройства до версии, в которой производитель закрыл данную брешь.

  1. Перейдите на официальный сайт поддержки Digiever.
  2. Найдите раздел загрузок для модели DS-2105 Pro.
  3. Скачайте последнюю версию прошивки (убедитесь в Release Notes, что уязвимость CVE-2023-52163 или проблема с time_tzsetup.cgi устранена).
  4. Сделайте резервную копию текущей конфигурации видеорегистратора.
  5. Зайдите в панель администрирования NVR и загрузите файл новой прошивки в разделе обновления системы.
  6. Дождитесь окончания процесса обновления и автоматической перезагрузки устройства.
  7. Проверьте работоспособность системы и убедитесь, что версия прошивки обновилась.

Временные меры

Если немедленное обновление прошивки невозможно по техническим или бизнес-причинам, необходимо срочно применить компенсирующие меры на сетевом уровне для снижения риска эксплуатации:

  1. Изоляция от сети Интернет: Убедитесь, что веб-интерфейс NVR (порты 80, 443 или нестандартные порты веб-сервера) не "смотрит" напрямую в интернет. Отключите проброс портов (Port Forwarding) на маршрутизаторе.
  2. Доступ через VPN: Для удаленного доступа к видеорегистратору используйте исключительно защищенные VPN-соединения.
  3. Ограничение доступа по IP (Firewall): Настройте межсетевой экран так, чтобы доступ к веб-интерфейсу NVR был разрешен только с доверенных IP-адресов администраторов. Пример ограничения доступа к 80 порту с помощью iptables (где 192.168.1.50 — IP администратора):
iptables -A INPUT -p tcp --dport 80 -s 192.168.1.50 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j DROP
  1. Использование WAF (Web Application Firewall): Если устройство находится за WAF, настройте правила для блокировки любых запросов к URI, содержащему time_tzsetup.cgi, от неавторизованных пользователей, а также включите сигнатуры для обнаружения инъекций команд (Command Injection).
  2. Мониторинг: Настройте отправку логов сетевого трафика в SIEM-систему и создайте алерты на любые обращения к файлу time_tzsetup.cgi.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей