Главная

  1. Страницы
  2. Главная
Обложка статьи

Digiever: видеорегистратор с сюрпризом

Новости · 25.12.2025
🚀 Не просто читай — прокачивайся! Зарегистрируйся в Kraken Academy и учись на практике: стенды, модули и реальные скиллы.

Если вам казалось, что самые вкусные RCE давно разобрали, CISA спешит напомнить: на складах интернета всё ещё лежат NVR’ы, которые готовы отдать shell за логин и пароль. В этот раз под раздачу попал Digiever DS-2105 Pro — сетевой видеорегистратор, который внезапно оказался не только средством видеонаблюдения, но и удобной точкой входа для ботнетов.

CISA официально закинула CVE-2023-52163 в свой KEV-каталог, то есть в список «да, этим реально ломают, и да, прямо сейчас». Уязвимость тянет на 8.8 по CVSS и представляет собой классический command injection с пост-аутентификационным RCE. Проще говоря: залогинился — запускай команды, что душа пожелает.

Корень зла — CGI-скрипт с милым названием time_tzsetup.cgi. В Digiever решили, что авторизация — штука факультативная, и в итоге через этот эндпоинт можно аккуратно подложить команду, которая выполнится на устройстве. Без песочниц, без ограничений, без лишних вопросов.

Самое весёлое начинается дальше. Akamai и Fortinet уже заметили, что эту дыру активно используют в продакшене. Причём не какие-то экзотические APT с белыми перчатками, а вполне приземлённые ботнет-дилеры. Mirai, ShadowV2 — классический набор «умный дом превращаем в зомби-ферму». Камеры смотрят, NVR считает время, а параллельно шлёт трафик туда, куда скажет оператор ботнета.

По данным исследователей из TXOne, у Digiever тут целый комбо-набор: рядом с RCE живёт ещё и CVE-2023-52164 — произвольное чтение файлов. Не критикал, но приятный бонус для атакующего. Проблема в том, что радоваться патчам не придётся — устройство официально EoL. То есть «конец жизни», «поддержки нет», «спасение утопающих — дело рук самих утопающих».

Формально для эксплуатации нужен доступ к учётке. Практически — если NVR торчит в интернет с дефолтным логином admin/admin (а мы все знаем, как это бывает), то это уже не защита, а формальность. Дальше всё по учебнику: логин, запрос, shell, persistence, ботнет.

CISA в своём стиле рекомендует очевидное: не светить устройство в интернет, срочно менять дефолтные креды и по возможности изолировать эту коробку где-нибудь за NAT’ом и фаерволом. Про обновления речи не идёт — их просто не существует. Это тот редкий случай, когда «обновитесь» заменить нечем, и лучший патч — это сетевой кабель, выдернутый из WAN.

История Digiever — ещё одно напоминание, что IoT и «безопасность по остаточному принципу» — вещи неразделимые. Сегодня это видеорегистратор, завтра — часть DDoS-армии, послезавтра — точка входа во внутреннюю сеть. А потом все удивляются, почему Mirai до сих пор жив.

📘 Понравилась статья?
Больше практики — в Kraken Academy.
Подписывайся на наш Telegram-канал.
Рекомендуемые статьи
Обложка

7 мифов о кибербезопасности, в которые до сих пор верят.

Читать полностью →
Обложка

John the Ripper

Читать полностью →
Обложка

Storm-2603 ломает SharePoint

Читать полностью →