Agencja Cyberbezpieczeństwa i Infrastruktury USA (CISA) dodała lukę bezpieczeństwa dotycząca rejestratorów sieciowych Digiever DS-2105 Pro do swojego katalogu Znanych Wykorzystanych Luk (Known Exploited Vulnerabilities, KEV), uzasadniając decyzję dowodami na aktywne wykorzystywanie podatności przez atakujących. Umieszczenie w tym katalogu oznacza, że problem stanowi realne i bieżące zagrożenie dla użytkowników tych urządzeń.
Chodzi o podatność opisaną jako CVE-2023-52163 z oceną krytyczności CVSS 8.8. Technicznie jest to przypadek wstrzyknięcia poleceń (command injection) umożliwiający wykonanie zdalnego kodu po uzyskaniu uwierzytelnienia. Luka dotyczy konkretnego punktu końcowego urządzenia — parametru time_tzsetup.cgi — i pozwala osobie, która ma już dostęp do konta na urządzeniu, na przesłanie spreparowanego żądania, które może uruchomić polecenia na systemie.
Warto podkreślić znaczenie tego trybu ataku: „post-authentication remote code execution” oznacza, że sprawca musi najpierw zalogować się do urządzenia (np. znając hasło) lub wykorzystać inne sposoby uzyskania sesji, a następnie wykorzystać lukę do eskalacji uprawnień lub instalacji złośliwego oprogramowania. W praktyce atakujący używają takich technik do przejęcia urządzeń w celu budowy botnetów lub stałego dostępu do sieci.
Raporty od firm zajmujących się bezpieczeństwem wskazują, że podatność była wykorzystywana w kampaniach dystrybucji złośliwego oprogramowania. Zaobserwowano użycie tej luki do dostarczania wariantów botnetów, m.in. Mirai oraz ShadowV2, co potwierdza, że problem nie jest jedynie teoretyczny, lecz wykorzystywany w realnych atakach.
Badaczka/-y z zespołu badawczego firmy TXOne Research (Ta‑Lun Yen) zwracają uwagę, że opisana podatność oraz towarzysząca jej luka pozwalająca na dowolne odczytywanie plików, oznaczona jako CVE-2023-52164 (CVSS 5.1), pozostają niezałatane. Powodem braku poprawek jest status urządzenia jako kończącego wsparcie (end-of-life, EoL) — producent nie wydaje już aktualizacji dla tego modelu, co pozostawia użytkowników bez oficjalnych łatek bezpieczeństwa.
W praktyce, aby zmniejszyć ryzyko w sytuacji braku dostępnej poprawki, zaleca się, by użytkownicy nie wystawiali urządzeń tego typu bezpośrednio do internetu oraz aby zmienili domyślne nazwy użytkowników i hasła. Te proste kroki utrudniają atakującym uzyskanie niezbędnego dostępu do urządzenia, który jest wymagany do wykorzystania opisanej luki.
Dodatkowo, CISA wezwała agencje Federalnej Władzy Cywilnej (Federal Civilian Executive Branch, FCEB) do zastosowania wymienionych środków zaradczych lub zaprzestania używania produktu do dnia 12 stycznia 2025 r., aby zabezpieczyć swoje środowiska sieciowe przed aktywnymi zagrożeniami. Termin ten podkreśla pilność problemu dla instytucji publicznych, ale rekomendacje dotyczą również prywatnych użytkowników i organizacji.
Podsumowując, połączenie wysokiej oceny krytyczności (CVSS 8.8), dowodów na aktywne wykorzystywanie luki do rozsyłania botnetów oraz braku dostępnych poprawek z powodu zakończenia wsparcia technicznego sprawia, że rejestratory Digiever DS-2105 Pro stanowią poważne ryzyko bezpieczeństwa. Użytkownicy powinni niezwłocznie ograniczyć ekspozycję tych urządzeń, zaktualizować poświadczenia i rozważyć wymianę sprzętu na wspierane modele.
