CISA 标记已被积极利用的 Digiever NVR 漏洞，允许远程代码执行

美国网络安全与基础设施安全局（CISA）将影响 Digiever DS-2105 Pro 网络视频录像机（NVR）的安全缺陷加入其已知被利用漏洞（KEV）目录，并指出有活跃利用的证据。

该漏洞标识为 CVE-2023-52163（CVSS 评分：8.8），属于命令注入，可在身份验证后实现远程代码执行。

“Digiever DS-2105 Pro 存在缺失授权的漏洞，可能通过 time_tzsetup.cgi 实现命令注入，” CISA 表示。

将 CVE-2023-52163 纳入 KEV 目录的背景是来自 Akamai 与 Fortinet 的多份报告，指出威胁行为者利用该缺陷投放 Mirai 与 ShadowV2 等僵尸网络。

据 TXOne Research 的安全研究员 Ta-Lun Yen 称，该漏洞以及另一个任意文件读取漏洞（CVE-2023-52164，CVSS 评分：5.1）由于设备已达到生命周期结束（EoL）状态而未得到修补。

成功利用该漏洞需要攻击者已登录设备并发送特制请求。由于缺少补丁，建议用户避免将设备暴露在互联网，且更改默认用户名和密码。

CISA 还建议联邦民用执行分支（FCEB）机构在 2025 年 1 月 12 日之前采取必要的缓解措施或停止使用该产品，以保护网络免受活跃威胁。