Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đã bổ sung một lỗ hổng bảo mật ảnh hưởng đến các thiết bị ghi hình mạng (NVR) Digiever DS-2105 Pro vào danh mục các lỗ hổng đã biết bị khai thác (KEV) của mình, với bằng chứng về việc khai thác tích cực.
Lỗ hổng này, được theo dõi là CVE-2023-52163 (điểm CVSS: 8.8), liên quan đến một trường hợp command injection cho phép remote code execution sau khi xác thực.
"Digiever DS-2105 Pro chứa một lỗ hổng thiếu ủy quyền có thể cho phép command injection thông qua time_tzsetup.cgi," CISA cho biết.
Việc bổ sung CVE-2023-52163 vào danh mục KEV được đưa ra sau nhiều báo cáo từ Akamai và Fortinet về việc các tác nhân đe dọa đã khai thác lỗ hổng này để phát tán các botnet như Mirai và ShadowV2.
Theo nhà nghiên cứu bảo mật Ta-Lun Yen của TXOne Research, lỗ hổng này, cùng với lỗi đọc tệp tùy ý (arbitrary file read bug) (CVE-2023-52164, điểm CVSS: 5.1), vẫn chưa được vá do thiết bị đã đạt trạng thái hết hạn sử dụng (EoL).
Khai thác thành công yêu cầu kẻ tấn công phải đăng nhập vào thiết bị và thực hiện một yêu cầu được tạo sẵn. Trong trường hợp không có bản vá, người dùng được khuyến nghị tránh để thiết bị tiếp xúc với internet và thay đổi tên người dùng và mật khẩu mặc định.
CISA cũng khuyến nghị các cơ quan thuộc Cơ quan Hành pháp Dân sự Liên bang (FCEB) áp dụng các biện pháp giảm thiểu cần thiết hoặc ngừng sử dụng sản phẩm trước ngày 12 tháng 1 năm 2025, để bảo vệ mạng của họ khỏi các mối đe dọa đang hoạt động.
