米国サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)は2025年12月22日、DigiEverのネットワークビデオレコーダーに影響する重大な脆弱性を、既知の悪用されている脆弱性(KEV)カタログに追加しました。
証拠によれば、攻撃者はこの欠陥を実環境で積極的に悪用しています。
CVE-2023-52163は、DigiEver DS-2105 Proデバイスにおける認可(Authorization)の欠如に起因する脆弱性です。この欠陥により、攻撃者は適切な認証なしにtime_tzsetup.cgiインターフェースを介して未承認のコマンドを実行できます。
この不適切なアクセス制御は、ユーザー権限を検証するシステムの能力における根本的な不備に起因します。
この脆弱性により、リモートの攻撃者は影響を受けるデバイスに直接悪意のあるコマンドを注入できます。DigiEver DS-2105 Proネットワークビデオレコーダーを使用する組織は、特に監視およびセキュリティモニタリングに依存している場合、重大なリスクに直面します。
攻撃者はセキュリティ映像を改ざんしたり、監視機能を無効化したり、侵害したシステムを踏み台にして企業ネットワークのより深部へ侵入したりする可能性があります。
組織は、DigiEverのセキュリティガイダンスに従って直ちにパッチを適用するか、更新が入手できない場合は影響を受ける製品の使用を中止すべきです。
セキュリティチームは、DigiEver DS-2105 Proシステムのパッチ適用を優先し、映像監視インフラを重要な業務ネットワークから隔離するためにネットワークセグメンテーションを実装すべきです。
影響を受けるデバイスで不審な活動がないか監視し、侵害の兆候がないかアクセスログを確認してください。
コマンド注入が可能であることから、この脆弱性は企業ネットワークへの初期アクセスを狙う脅威アクターにとって特に魅力的です。
CISAは、この欠陥を悪用するランサムウェアキャンペーンを確認していないものの、KEVへの掲載は、実際の悪用が行われているという信頼できる証拠があることを示しています。
CVE-2023-52163がCISAのKEVリストに追加されたことは、ネットワーク接続型の監視機器が直面する継続的なセキュリティ課題を浮き彫りにしています。
組織は、運用技術(OT)デバイス向けのセキュリティパッチを適用し、この脆弱性を最優先事項として扱う必要があります。
翻訳元: https://cyberpress.org/cisa-flags-kev-catalog/