DigiEver-Schwachstellen: Dringend korrigieren!

Im Juli 2023 fanden Sicherheitsexperten von TXOne zwei Schwachstellen in DigiEver-DVRs und meldeten sie an das taiwanesische CERT (TWCERT/CC). DigiEver lehnte eine Behebung der Sicherheitslücken im August 2023 mit der Begründung ab, dass die betroffenen Geräte bereits seit fünf Jahren veraltet seien.

Trotzdem wurden im Dezember 2023 zwei offizielle CVE-Nummern für diese Schwachstellen reserviert. Doch das Problem war damit nicht gelöst: Im Dezember 2024 wurde bekannt, dass ein Botnetz namens Hail Cock eine dieser Sicherheitslücken aktiv ausnutzt – die Gefahr besteht also weiterhin.

Details zur Schwachstelle

Die zwei kritischen Fehler wurden in unbekannten Versionen von DigiEver-DVRs entdeckt. Sie ermöglichen Angreifern nach der Authentifizierung, Schadcode auszuführen. Ein Mirai-basiertes Botnetz nutzt diese Lücken aktiv aus. Da DigiEver verschiedene Geräte mit derselben Codebasis ausstattet, ist unklar, welche Modelle genau betroffen sind – wahrscheinlich aber die meisten. Den Schwachstellen wurden folgende CVE-Nummern zugewiesen:

• CVE-2023-52163: Befehlsinjektion über time_tzsetup.cgi
• CVE-2023-52164: Beliebiges Lesen von Dateien über access_device.cgi

Um die Lücken auszunutzen, muss der Angreifer bereits Zugriff auf das Gerät haben und eine manipulierte Anfrage stellen.

Schutzmaßnahmen

Um die Sicherheit der Geräte zu erhöhen, sollten Unternehmen und Privatnutzer folgende Schritte unternehmen:

• Keine Verbindung zum Internet: Die Geräte sollten nicht öffentlich erreichbar sein. Eine Firewall oder ein Gateway kann den Zugriff auf die Verwaltungsschnittstelle schützen.
• Standard-Zugangsdaten ändern: Werkseitig voreingestellte Passwörter und Benutzernamen sollten durch sichere, individuelle Zugangsdaten ersetzt werden.
• Regelmäßige Updates: Falls möglich, sollten alle Firmware-Updates eingespielt werden. Falls keine Updates mehr verfügbar sind, ist ein Umstieg auf ein neueres Modell ratsam.
• Geräte isolieren: Digitale Video-Rekorder und andere IoT-Geräte sollten in einem separaten Netzwerk betrieben werden, um die Angriffsfläche zu minimieren.

Technischer Hintergrund

Die Sicherheitsforscher von TXOne fanden die Schwachstellen, indem sie ein Wiederherstellungs-Image analysierten, das auf der Website von DigiEver verfügbar war. Dabei stellte sich heraus, dass DigiEver ein CGI-Gateway (/cgi-bin/cgi_main.cgi) verwendet, über das verschiedene Funktionen angesteuert werden. Die Schwachstellen ermöglichen eine Befehlsinjektion und das Auslesen von Dateien durch manipulierte Anfragen.

Für Unternehmen, die Angriffe auf DigiEver-DVRs erkennen wollen, bietet TXOne spezielle Snort-3-Regeln zur Überwachung des Netzwerkverkehrs an. Diese Regeln können helfen, Angriffsversuche frühzeitig zu identifizieren.

Gegen CVE-2023-52163 (Command Injection):

alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:“WEB-CGI Digiever DS-2105 Pro Command Injection“; flow:to_server,established; http_uri; content:“/cgi-bin/cgi_main.cgi“; http_client_body; content:“cgiName=time_tzsetup.cgi“; pcre:“/ntp=[0-9a-zA-Z\.\s]*[|`\;]/“; reference:cve,2023-52163; classtype:web-application-attack; sid:1000001; rev:1;).

Gegen CVE-2023-52164 (Arbitrary File Read):

alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:“WEB-CGI Digiever DS-2105 Authenticated Arbitrary File Read“; flow:to_server,established; http_uri;content:“/cgi-bin/cgi_main.cgi“; http_client_body; content:“cgiName=access_device.cgi“; pcre:“/fileName=(\/|\w+\/\.\./)/“; reference:cve,2023-52164; classtype:web-application-attack; sid:1000002; rev:1;).

Auch wenn DigiEver die Sicherheitslücken nicht mehr schließt, sollten Nutzer proaktiv Maßnahmen ergreifen, um ihre Geräte zu schützen. Besonders wichtig ist es, DVRs nicht ungeschützt mit dem Internet zu verbinden, Standard-Zugangsdaten zu ändern und alternative Sicherheitslösungen einzusetzen.