Von Mirco Kloss, Business Development Director DACH bei TXOne Networks Europe B.V.

Unsere Security-Experten haben im Juli 2023 Bugs in DigiEver gefunden und im TWCERT/CC gemeldet. DigiEver schloß den Fall im August 2023 mit der Begründung, dass das Gerät seit fünf Jahren veraltet sei. Daraufhin wurde Mitte Dezember 2023 zwei CVE-Nummern für diese Bugs reserviert. Damit war die Geschichte aber nicht zu Ende, denn im Dezember 2024 wurde bekannt, dass ein Bot-Netz namens Hail Cock einen dieser Bugs ausgenutzt hat, die Sicherheitslücke also noch immer offen lag.

Zusammenfassung der Sicherheitsforschung

In unbekannten Versionen von DigiEver-DVRs wurden zwei Fehler bei der Remotecode-Ausführung nach der Authentifizierung gefunden. Ein Mirai-Bot-Netz nutzte diesen Ende des Jahres 2024 aktiv aus. Welche Modelle und Versionen von DigiEver-Geräten betroffen sind, lässt sich nicht genau feststellen, aber es dürften die meisten sein.

Den Schwachstellen wurden die folgenden CVE-Nummern zugewiesen:

• CVE-2023-52163, time_tzsetup.cgi Befehlsinjektion.
• CVE-2023-52164, access_device.cgi Beliebiges Lesen von Dateien.

Um beide Schwachstellen auszunutzen, muss der Angreifer bei dem Gerät angemeldet sein und eine manipulierte Anfrage stellen. Da aber diese Sicherheitslücken somit nur nach einer Authentifizierung ausnutzbar sind, könnten die folgenden Abhilfemaßnahmen von Nutzen sein:

• Das Gerät sollte nicht mit dem Internet verbunden sein. Eine Firewall oder ein Gateway einsetzen, um die Verwaltungsschnittstelle des Geräts zu schützen.
• Der Standard-Benutzername und das Standard-Passwort des Geräts sollte geändert werden.

Außerdem können unsere Netzwerkprodukte die Sicherheitslücken erkennen:

• [#1233322], WEB DigiEver DS-2105 Pro Command Injection.
• [#1236155], WEB Digiever DS-2105 Pro Authentifiziertes Lesen beliebiger Dateien.

DigiEver-DVRs verwenden eine gemeinsame Code-Basis für verschiedene Geräte. Die Schwachstellen wurden durch die Analyse des Wiederherstellungs-Images gefunden, das auf der Website verfügbar war.

Nach weiterer Untersuchung scheint es, dass DigiEver ein CGI-Gateway in /cgi-bin/cgi_main.cgi implementiert. Alle Funktionen werden über diesen Endpunkt vermittelt und verschiedene CGI-Skripte können über diesen Endpunkt aufgerufen werden.

Weitere und detaillierte technische Informationen erhalten Sie bei TXOne Research .