HackerNews 编译,转载请注明出处:
美国网络安全与基础设施安全局(CISA)已将影响 Digiever DS-2105 Pro 网络硬盘录像机(NVR)的安全漏洞(CVE-2023-52163,CVSS 8.8)列入“已知被利用漏洞”目录,并指出已有活跃攻击证据。
该漏洞属于命令注入类,可在认证后实现远程代码执行。CISA 公告称:“Digiever DS-2105 Pro 存在缺失授权漏洞,攻击者可通过 time_tzsetup.cgi 注入命令。”
Akamai 与 Fortinet 的多份报告显示,该漏洞已被用于投递 Mirai、ShadowV2 等僵尸网络。TXOne Research 安全研究员颜达伦指出,由于设备已进入生命周期终止(EoL)状态,CVE-2023-52163 及其伴随的任意文件读取漏洞(CVE-2023-52164,CVSS 5.1)均未获得官方补丁。
成功利用需先登录设备并发送特制请求。在补丁缺失的情况下,用户应避免将设备暴露于互联网,并立即修改默认口令。
CISA 同时要求联邦文职行政机构(FCEB)在 2025 年 1 月 12 日前采取缓解措施或停用该产品,以抵御持续威胁。
消息来源:thehackernews.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文