[English]DigiEver aus Taiwan bietet IP-Videoüberwachung auf Basis von Linux an. Sicherheitsforscher von TXOne sind bei Untersuchungen bereits im Juli 2023 auf RCE-Schwachstellen in den DigiEver-Produkten gestoßen. Der Anbieter stellt keine Updates bereit, weil die Geräte das Supportende erreicht haben. Seit Dezember 2024 wird beobachtet, dass ein Bot-Netz namens Hail Cock einen dieser Bugs ausgenutzt hat, da die Sicherheitslücke immer noch offen ist. Nutzer müssen also reagieren.
Anzeige
DigiEver IP-Videoüberwachung
DigiEver ist ein in Taiwan angesiedeltes Unternehmen, welches Lösungen zur IP-Videoüberwachung anbietet.
Es gibt Lösungen zur Aufzeichnung von Videostreams, die auf Hardware basieren, und die mit Linux aus Betriebssystem daherkommen. Der Anbieter ist wohl auch in Deutschland über verschiedene Händler im Geschäft, so dass ich davon ausgehe, dass einige Systeme in DACH laufen.
Sicherheitsforscher finden Schwachstellen
Sicherheitforscher des OT-Sicherheit spezialisierten Anbieters TXOne Networks haben bei einer Analyse bereits im Juli 2023 Bugs in DigiEver-Produkten zur Videoüberwachung gefunden. Die RCE-Schwachstellen wurden im TWCERT/CC gemeldet, aber DigiEver schloss im August 2023 den betreffenden "Case" mit der Begründung, dass das Gerät seit fünf Jahren veraltet sei. Daraufhin wurde Mitte Dezember 2023 zwei CVE-Nummern für diese Bugs reserviert.
Anzeige
Damit war die Geschichte aber leider nicht zu Ende, denn im Dezember 2024 wurde bekannt, dass ein Bot-Netz namens Hail Cock einen dieser Bugs ausgenutzt hat. Das bedeutet, dass die Sicherheitslücke immer noch vorhanden ist.
Zwei Schwachstellen in DigiEver-DVRs
In Software-Versionen von DigiEver-DVRs (Digiever DS-2105 Pro 3.1.0.71-11) wurden zwei Fehler bei der Remotecode-Ausführung nach der Authentifizierung gefunden. Den Schwachstellen wurden die folgenden CVE-Nummern zugewiesen:
- CVE-2023-52163, Digiever DS-2105 Pro 3.1.0.71-11-Geräte ermöglichen ein time_tzsetup.cgi-Befehlsinjektion.
- CVE-2023-52164, Digiever DS-2105 Pro 3.1.0.71-11-Geräte ermöglichen ein beliebiges Lesen von Dateien über access_device.cgi.
Um beide Schwachstellen auszunutzen, muss der Angreifer bei dem Gerät angemeldet sein und eine manipulierte Anfrage stellen.
Mirai-Bot-Netz nutzt die Schwachstellen
Ein Mirai-Bot-Netz nutzte diese Schwachstellen Ende des Jahres 2024 aktiv aus. Welche Modelle und Versionen von DigiEver-Geräten von diesen Angriffen betroffen sind, lässt sich nicht genau feststellen.
Abhilfemaßnahmen gegen die Sicherheitslücken
Da die oben aufgeführten Sicherheitslücken nur nach einer Authentifizierung ausnutzbar sind, könnten Betreiber die folgenden Abhilfemaßnahmen implementieren:
- Das Gerät sollte nicht mit dem Internet verbunden sein. Eine Firewall oder ein Gateway lässt sich einsetzen, um die Verwaltungsschnittstelle des Geräts zu schützen.
- Der Standard-Benutzername und das Standard-Passwort des Geräts sollte geändert werden.
Außerdem können Netzwerkprodukte von txOne die obigen Sicherheitslücken erkennen.
Details zu den Schwachstellen
txOne hat mir einige Einzelheiten zu den Schwachstellen zukommen lassen. So verwenden die DigiEver-DVRs eine gemeinsame Code-Basis für verschiedene Geräte. Die Schwachstellen wurden von den Sicherheitsforschern durch die Analyse des Wiederherstellungs-Images gefunden, das auf der Website verfügbar war.
Nach weiterer Untersuchung scheint es, dass DigiEver ein CGI-Gateway in /cgi-bin/cgi_main.cgi implementiert. Alle Funktionen werden über diesen Endpunkt vermittelt und verschiedene CGI-Skripte können über diesen Endpunkt aufgerufen werden.
Abbildung 1: CVE-2023-52163, time_tzsetup.cgi Befehlsinjektion (TXOne Networks Inc.)
Die Fehler lassen sich leicht als Text-Befehlsinjektion und beliebiges Lesen von Dateien identifizieren.
Abbildung 2: CVE-2023-52164, access_device.cgi Beliebiges Lesen von Dateien (TXOne Networks Inc.).
Abhilfemaßnahmen gegen Ausnutzung
txOne Networks Inc. stellt die folgenden Snort-3-Regeln zur Verfügung, um die Ausnutzung beider Schwachstellen zu erkennen.
Gegen CVE-2023-52163 (Command Injection):
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-CGI Digiever DS-2105 Pro Command Injection"; flow:to_server,established; http_uri; content:"/cgi-bin/cgi_main.cgi"; http_client_body; content:"cgiName=time_tzsetup.cgi"; pcre:"/ntp=[0-9a-zA-Z\.\s]*[|`\;]/"; reference:cve,2023-52163; classtype:web-application-attack; sid:1000001; rev:1;).
Gegen CVE-2023-52164 (Arbitrary File Read):
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-CGI Digiever DS-2105 Authenticated Arbitrary File Read"; flow:to_server,established; http_uri;content:"/cgi-bin/cgi_main.cgi"; http_client_body; content:"cgiName=access_device.cgi"; pcre:"/fileName=(\/|\w+\/\.\./)/"; reference:cve,2023-52164; classtype:web-application-attack; sid:1000002; rev:1;).
Zeitplan für die Offenlegung
Da den Sicherheitsforschern keine anderen Optionen zur Verfügung standen, haben diese sich dafür entschieden, die beiden Fehler verantwortungsvoll vollständig zu veröffentlichen, nachdem sie über TWCERT/CC die negative Antwort des Herstellers erhalten hatten. Hier der zeitliche Ablauf:
- 31. Juli 2023: Die Fehler wurden dem TWCERT/CC gemeldet.
- 1. August 2023: DigiEver schließt den Fall mit der Begründung, dass das Gerät seit fünf Jahren veraltet ist.
- Mitte Dezember 2023: Die CVE-Kennungen wurden für die Bugs reserviert.
- 19. Dezember 2024: Öffentliche Bekanntgabe durch Akamai (siehe diesen Artikel).
TXOne Networks bietet IT-Sicherheitsprodukte an, welche die Zuverlässigkeit und Sicherheit von industriellen Steuerungssystemen und betrieblichen Technologie-Umgebungen durch die OT-Zero-Trust-Methode gewährleisten.
Anzeige
