Trusted Design

解説:
CVE-2023-52163 は、Digiever DS‑2105 Proネットワークビデオレコーダー（NVR）に存在するtime_tzsetup.cgiに対するコマンドインジェクション脆弱性です。攻撃者はこの脆弱性を悪用して、デバイス上で任意のシステムコマンドを実行し、デバイスを完全に乗っ取ることができます。 この脆弱性はサポート終了（EOL）製品のみが影響を受けると明記されています。 1. 脆弱性の概要 【影響】 ・認証なしでtime_tzsetup.cgiに対して任意コマンドを実行可能となります。 ・結果として、攻撃者はデバイスの制御取得、設定変更、マルウェア投入、ボットネットの踏み台などを行える可能性があります。 ・Mirai系ボットネットによる悪用が確認されています。 【深刻度】 ・NVD CVSS v3.1 スコア: 8.8 (High) ・CISA KEVに登録されており、実際に悪用されている脆弱性として扱われています。 2. 対象となる環境 【影響を受けるOS/製品バージョン】 ・Digiever DS‑2105 Proファームウェア3.1.0.71‑11および以前のバージョン 【影響を受ける設定】 ・管理用CGIエンドポイント（time_tzsetup.cgi）が外部からアクセス可能な状態にある場合。 3. 影響を受けた時の兆候 公開情報に明確な兆候は記載されていませんが、以下の兆候が考えられます。 ・不審な外部通信: デバイスから未知のIPアドレスに対して、バイナリファイルのダウンロード（curlやwgetなど）を試みる通信が発生する。 ・システムリソースの異常: ボットネットの一部として動作することで、CPU使用率が異常に高まったり、ネットワーク帯域が圧迫されたりする。 ・設定変更: タイムゾーン設定やネットワーク設定が、意図せず書き換えられている。 ・Mirai 系ボットネットによる悪用が確認されているため、感染した場合、不審な外部通信やDDoS攻撃への参加が発生する可能性がある。（一般的なMirai感染の挙動） 4. 推奨対策 【本対策】 ・ファームウェアのアップデート: メーカーから提供されている修正済みバージョン、または最新のファームウェアへただちにアップデートしてください。 https://www.digiever.com/support/faq-content.php?FAQ=201 ・製品のリプレース: 当該製品はメーカーサポートが終了（EoL）しているという情報もあり、その場合は脆弱性が修正されないため、新しい機材への買い替えが強く推奨されます。 ・CISAはKEV登録に伴い、影響製品の廃止・交換を推奨しています。 【暫定回避策（緩和策）】 ・脆弱なCGI（time_tzsetup.cgi）への外部アクセス遮断（ファイアウォール等） ・インターネットからの直接アクセスを禁止 ・影響デバイスをネットワークから隔離 ・不審な通信の監視（Mirai 系ボットネット悪用が確認されているため） 5. その他（脆弱性の原因） この脆弱性は、管理用Webインターフェースの「時刻設定（タイムゾーン設定）」処理において、ユーザーからの入力を適切に検証・サニタイズ（無害化）せずに、背後のOSコマンドにそのまま渡していた（CWE-78 / CWE-862）ことが原因です。 攻撃者が特殊な文字列を含むHTTPリクエストを /cgi-bin/cgi_main.cgi?function=time_tzsetup 等に送信します。デバイスがこれを受け取ると、OSレベルで攻撃者の意図したコマンドが実行されてしまいます。