🧐 Суть уязвимости

Уязвимость (CVE-2023-52163) в веб-интерфейсе устройства Digiever DS-2105 Pro позволяет удаленному злоумышленнику выполнить произвольные команды на операционной системе устройства.

• Механизм: Скрипт time_tzsetup.cgi не проверяет права доступа пользователя (Missing Authorization) и некорректно обрабатывает входящие данные.
• Вектор атаки: Злоумышленник, имеющий доступ к веб-интерфейсу (даже без авторизации), может отправить специально сформированный HTTP-запрос к уязвимому скрипту.
• Результат: В запросе можно внедрить команды ОС (Command Injection), которые будут выполнены с привилегиями веб-сервера, что может привести к полному захвату контроля над устройством.

🛠️ Как исправить

Основной метод — обновление прошивки устройства.

1. Проверьте текущую версию прошивки.

   • Войдите в веб-интерфейс устройства.
   • Перейдите в раздел Настройки → Система → Информация.
   • Найдите номер версии прошивки (Firmware Version).

2. Загрузите и установите патченную версию прошивки.

   • Обратитесь к официальному сайту производителя Digiever или вашему поставщику.
   • Запросите обновление прошивки, которое устраняет уязвимость CVE-2023-52163.
   • Конкретная версия: Установите прошивку версии 2.2.1.15 или новее (актуальную на момент выпуска патча). Всегда уточняйте у вендора последнюю доступную исправленную версию.
   • Загрузите файл прошивки (*.bin) через веб-интерфейс в разделе Настройки → Система → Обновление ПО.

🛡️ Временное решение

Если немедленное обновление невозможно, примите следующие меры для снижения риска:

1. Ограничьте сетевой доступ к устройству.

   • Настройте правила межсетевого экрана (Firewall), чтобы заблокировать весь входящий доступ к веб-интерфейсу (порт 80/HTTP и 443/HTTPS) из внешних сетей (Интернет).
   • Разрешите доступ только с доверенных IP-адресов (например, с конкретной рабочей станции администратора). ```bash

   Пример для iptables (Linux-шлюз) - запрет внешнего доступа на порт 80 устройства 192.168.1.100

   iptables -A FORWARD -p tcp -d 192.168.1.100 --dport 80 -j DROP ```

2. Используйте сегментацию сети.

   • Поместите устройство Digiever DS-2105 Pro в изолированную VLAN, недоступную из офисной сети и Интернета.

3. Настройте WAF (Web Application Firewall).

   • Если устройство находится за WAF (например, ModSecurity, облачный WAF), создайте правило для блокировки запросов, содержащих в URI или теле запроса шаблоны, характерные для инъекций команд (символы ;, |, &, $(), команды bash, sh и т.д.), направленных к time_tzsetup.cgi.

4. Отключите неиспользуемые службы.

   • Если доступ к веб-интерфейсу не требуется постоянно, рассмотрите возможность его отключения в настройках устройства и использование альтернативных методов управления (локальный консольный порт).