{"id":308782,"date":"2025-02-24T11:22:16","date_gmt":"2025-02-24T10:22:16","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=308782"},"modified":"2025-03-02T07:32:53","modified_gmt":"2025-03-02T06:32:53","slug":"schwachstellen-in-digiever-dvrs-werden-ausgenutzt-kein-patch-verfuegbar","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/02\/24\/schwachstellen-in-digiever-dvrs-werden-ausgenutzt-kein-patch-verfuegbar\/","title":{"rendered":"Schwachstellen in DigiEver-DVRs werden ausgenutzt, kein Patch verf\u00fcgbar"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2025\/03\/01\/vulnerabilities-in-digiever-dvrs-are-being-exploited-no-patch-available\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]DigiEver aus Taiwan bietet IP-Video\u00fcberwachung auf Basis von Linux an. Sicherheitsforscher von TXOne sind bei Untersuchungen bereits im Juli 2023 auf RCE-Schwachstellen in den DigiEver-Produkten gesto\u00dfen. Der Anbieter stellt keine Updates bereit, weil die Ger\u00e4te das Supportende erreicht haben. Seit Dezember 2024 wird beobachtet, dass ein Bot-Netz namens <em>Hail Cock <\/em>einen dieser Bugs ausgenutzt hat, da die Sicherheitsl\u00fccke immer noch offen ist. Nutzer m\u00fcssen also reagieren.<\/p>\n<p><!--more--><\/p>\n<h2>DigiEver IP-Video\u00fcberwachung<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg02.met.vgwort.de\/na\/f381b839a8fd49658ad12b334be00184\" alt=\"\" width=\"1\" height=\"1\" \/>DigiEver ist ein in Taiwan angesiedeltes Unternehmen, welches L\u00f6sungen zur\u00a0IP-Video\u00fcberwachung anbietet.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/i.postimg.cc\/BnhDBCQt\/image.png\" alt=\"DigiEver PVR-Sicherheitsl\u00f6sungen\" width=\"640\" height=\"606\" \/><\/p>\n<p>Es gibt L\u00f6sungen zur Aufzeichnung von Videostreams, die auf Hardware basieren, und die mit Linux aus Betriebssystem daherkommen. Der Anbieter ist wohl auch in Deutschland \u00fcber verschiedene H\u00e4ndler im Gesch\u00e4ft, so dass ich davon ausgehe, dass einige Systeme in DACH laufen.<\/p>\n<h2>Sicherheitsforscher finden Schwachstellen<\/h2>\n<p>Sicherheitforscher des OT-Sicherheit spezialisierten Anbieters TXOne Networks haben bei einer Analyse bereits im Juli 2023 Bugs in DigiEver-Produkten zur Video\u00fcberwachung gefunden. Die RCE-Schwachstellen wurden im TWCERT\/CC gemeldet, aber DigiEver schloss im August 2023 den betreffenden \"Case\" mit der Begr\u00fcndung, dass das Ger\u00e4t seit f\u00fcnf Jahren veraltet sei.\u00a0Daraufhin wurde Mitte Dezember 2023 zwei CVE-Nummern f\u00fcr diese Bugs reserviert.<\/p>\n<p>Damit war die Geschichte aber leider nicht zu Ende, denn im Dezember 2024 wurde bekannt, dass ein Bot-Netz namens Hail Cock einen dieser Bugs ausgenutzt hat. Das bedeutet, dass die Sicherheitsl\u00fccke immer noch vorhanden ist.<\/p>\n<h3>Zwei Schwachstellen in DigiEver-DVRs<\/h3>\n<p>In Software-Versionen von DigiEver-DVRs (Digiever DS-2105 Pro 3.1.0.71-11) wurden zwei Fehler bei der Remotecode-Ausf\u00fchrung nach der Authentifizierung gefunden. Den Schwachstellen wurden die folgenden CVE-Nummern zugewiesen:<\/p>\n<ul>\n<li><a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2023-52163\" target=\"_blank\" rel=\"noopener\">CVE-2023-52163<\/a>, Digiever DS-2105 Pro 3.1.0.71-11-Ger\u00e4te erm\u00f6glichen ein <em>time_tzsetup.cgi<\/em>-Befehlsinjektion.<\/li>\n<li><a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2023-52164\" target=\"_blank\" rel=\"noopener\">CVE-2023-52164<\/a>, Digiever DS-2105 Pro 3.1.0.71-11-Ger\u00e4te erm\u00f6glichen ein beliebiges Lesen von Dateien \u00fcber <em>access_device.cgi<\/em>.<\/li>\n<\/ul>\n<p>Um beide Schwachstellen auszunutzen, muss der Angreifer bei dem Ger\u00e4t angemeldet sein und eine manipulierte Anfrage stellen.<\/p>\n<h3>Mirai-Bot-Netz nutzt die Schwachstellen<\/h3>\n<p>Ein Mirai-Bot-Netz nutzte diese Schwachstellen Ende des Jahres 2024 aktiv aus. Welche Modelle und Versionen von DigiEver-Ger\u00e4ten von diesen Angriffen betroffen sind, l\u00e4sst sich nicht genau feststellen.<\/p>\n<h2>Abhilfema\u00dfnahmen gegen die Sicherheitsl\u00fccken<\/h2>\n<p>Da die oben aufgef\u00fchrten Sicherheitsl\u00fccken nur nach einer Authentifizierung ausnutzbar sind, k\u00f6nnten Betreiber die folgenden Abhilfema\u00dfnahmen implementieren:<\/p>\n<ul>\n<li>Das Ger\u00e4t sollte nicht mit dem Internet verbunden sein. Eine Firewall oder ein Gateway l\u00e4sst sich einsetzen, um die Verwaltungsschnittstelle des Ger\u00e4ts zu sch\u00fctzen.<\/li>\n<li>Der Standard-Benutzername und das Standard-Passwort des Ger\u00e4ts sollte ge\u00e4ndert werden.<\/li>\n<\/ul>\n<p>Au\u00dferdem k\u00f6nnen\u00a0 Netzwerkprodukte von txOne die obigen Sicherheitsl\u00fccken erkennen.<\/p>\n<h2>Details zu den Schwachstellen<\/h2>\n<p>txOne hat mir einige\u00a0Einzelheiten zu den Schwachstellen zukommen lassen. So verwenden die DigiEver-DVRs eine gemeinsame Code-Basis f\u00fcr verschiedene Ger\u00e4te. Die Schwachstellen wurden von den Sicherheitsforschern durch die Analyse des Wiederherstellungs-Images gefunden, das auf der Website verf\u00fcgbar war.<\/p>\n<p>Nach weiterer Untersuchung scheint es, dass DigiEver ein CGI-Gateway in <em>\/cgi-bin\/cgi_main.cgi<\/em> implementiert. Alle Funktionen werden \u00fcber diesen Endpunkt vermittelt und verschiedene CGI-Skripte k\u00f6nnen \u00fcber diesen Endpunkt aufgerufen werden.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/i.postimg.cc\/hhWCBzyW\/files-images-TXOne-Abbildung-1.png\" alt=\"CVE-2023-52163, time_tzsetup.cgi Befehlsinjektion (TXOne Networks Inc.\" width=\"602\" height=\"66\" \/>Abbildung 1: CVE-2023-52163, time_tzsetup.cgi Befehlsinjektion (TXOne Networks Inc.)<\/p>\n<p>Die Fehler lassen sich leicht als Text-Befehlsinjektion und beliebiges Lesen von Dateien identifizieren.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/i.postimg.cc\/m274FQG9\/files-images-TXOne-Abbildung-2.png\" alt=\"Abbildung 2: CVE-2023-52164, access_device.cgi Beliebiges Lesen von Dateien (TXOne Networks Inc.).\" width=\"602\" height=\"204\" \/><br \/>\nAbbildung 2: CVE-2023-52164, access_device.cgi Beliebiges Lesen von Dateien (TXOne Networks Inc.).<\/p>\n<h2>Abhilfema\u00dfnahmen gegen Ausnutzung<\/h2>\n<p>txOne Networks Inc. stellt die folgenden Snort-3-Regeln zur Verf\u00fcgung, um die Ausnutzung beider Schwachstellen zu erkennen.<\/p>\n<p>Gegen CVE-2023-52163 (Command Injection):<\/p>\n<pre>alert tcp $EXTERNAL_NET any -&gt; $HTTP_SERVERS $HTTP_PORTS (msg:\"WEB-CGI Digiever DS-2105 Pro Command Injection\"; flow:to_server,established; http_uri; content:\"\/cgi-bin\/cgi_main.cgi\"; http_client_body; content:\"cgiName=time_tzsetup.cgi\"; pcre:\"\/ntp=[0-9a-zA-Z\\.\\s]*[|`\\;]\/\"; reference:cve,2023-52163; classtype:web-application-attack; sid:1000001; rev:1;).<\/pre>\n<p>Gegen CVE-2023-52164 (Arbitrary File Read):<\/p>\n<pre>alert tcp $EXTERNAL_NET any -&gt; $HTTP_SERVERS $HTTP_PORTS (msg:\"WEB-CGI Digiever DS-2105 Authenticated Arbitrary File Read\"; flow:to_server,established; http_uri;content:\"\/cgi-bin\/cgi_main.cgi\"; http_client_body; content:\"cgiName=access_device.cgi\"; pcre:\"\/fileName=(\\\/|\\w+\\\/\\.\\.\/)\/\"; reference:cve,2023-52164; classtype:web-application-attack; sid:1000002; rev:1;).<\/pre>\n<h3>Zeitplan f\u00fcr die Offenlegung<\/h3>\n<p>Da den Sicherheitsforschern keine anderen Optionen zur Verf\u00fcgung standen, haben diese sich daf\u00fcr entschieden, die beiden Fehler verantwortungsvoll vollst\u00e4ndig zu ver\u00f6ffentlichen, nachdem sie \u00fcber TWCERT\/CC die negative Antwort des Herstellers erhalten hatten. Hier der zeitliche Ablauf:<\/p>\n<ul>\n<li>31. Juli 2023: Die Fehler wurden dem TWCERT\/CC gemeldet.<\/li>\n<li>1. August 2023: DigiEver schlie\u00dft den Fall mit der Begr\u00fcndung, dass das Ger\u00e4t seit f\u00fcnf Jahren veraltet ist.<\/li>\n<li>Mitte Dezember 2023: Die CVE-Kennungen wurden f\u00fcr die Bugs reserviert.<\/li>\n<li>19. Dezember 2024: \u00d6ffentliche Bekanntgabe durch Akamai (siehe <a href=\"https:\/\/www.akamai.com\/de\/blog\/security-research\/digiever-fix-that-iot-thing\" target=\"_blank\" rel=\"noopener\">diesen Artikel<\/a>).<\/li>\n<\/ul>\n<p>TXOne Networks bietet IT-Sicherheitsprodukte an, welche die Zuverl\u00e4ssigkeit und Sicherheit von industriellen Steuerungssystemen und betrieblichen Technologie-Umgebungen durch die OT-Zero-Trust-Methode gew\u00e4hrleisten.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]DigiEver aus Taiwan bietet IP-Video\u00fcberwachung auf Basis von Linux an. Sicherheitsforscher von TXOne sind bei Untersuchungen bereits im Juli 2023 auf RCE-Schwachstellen in den DigiEver-Produkten gesto\u00dfen. Der Anbieter stellt keine Updates bereit, weil die Ger\u00e4te das Supportende erreicht haben. Seit &hellip; <a href=\"https:\/\/borncity.com\/blog\/2025\/02\/24\/schwachstellen-in-digiever-dvrs-werden-ausgenutzt-kein-patch-verfuegbar\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[731],"tags":[3081,4328,3836],"class_list":["post-308782","post","type-post","status-publish","format-standard","hentry","category-gerate","tag-geraete","tag-sicherheit","tag-software"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/308782","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=308782"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/308782\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=308782"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=308782"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=308782"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}