AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

Vulnerabilidad crítica en grabadores Digiever DS-2105 Pro: CISA alerta sobre explotación activa

admin

Introducción

La Agencia de Ciberseguridad y Seguridad de las Infraestructuras de EE. UU. (CISA) ha incorporado recientemente a su catálogo de Vulnerabilidades Conocidas y Explotadas (KEV) un fallo de seguridad que afecta a los grabadores de vídeo en red (NVR) Digiever DS-2105 Pro. El aviso, fundamentado en evidencia de explotación activa, subraya la urgencia de abordar esta vulnerabilidad, especialmente en entornos donde estos dispositivos forman parte del perímetro de seguridad o de infraestructuras críticas.

Contexto del Incidente o Vulnerabilidad

La vulnerabilidad, identificada como CVE-2023-52163 y con una puntuación CVSS de 8.8, afecta a los dispositivos Digiever DS-2105 Pro NVR, utilizados ampliamente para la gestión, almacenamiento y monitorización de sistemas de videovigilancia IP. Estos sistemas suelen estar expuestos a redes locales y, en muchos casos, accesibles desde ubicaciones remotas, lo que incrementa el riesgo de explotación. La inclusión en el catálogo KEV de CISA implica la existencia de pruebas fehacientes de ataques en curso dirigidos a este vector.

Detalles Técnicos

CVE-2023-52163 se describe como una vulnerabilidad de inyección de comandos (command injection) en la interfaz web de administración del Digiever DS-2105 Pro NVR. El fallo permite a un atacante autenticado ejecutar comandos arbitrarios en el sistema operativo subyacente, con privilegios elevados, a través de peticiones maliciosas al servidor web del dispositivo.

El vector de ataque es post-autenticación, lo que significa que el atacante debe tener credenciales válidas previamente, aunque en entornos donde se reutilizan contraseñas o se emplean credenciales por defecto, la barrera de acceso es significativamente menor. Se han observado ataques automatizados que utilizan técnicas de fuerza bruta o bases de datos de credenciales filtradas para obtener acceso inicial.

En cuanto a las Tácticas, Técnicas y Procedimientos (TTP) catalogadas por MITRE ATT&CK, la explotación se alinea con la técnica T1059 (Command and Scripting Interpreter) y T1190 (Exploit Public-Facing Application). Los Indicadores de Compromiso (IoC) incluyen:

– Peticiones HTTP POST sospechosas a rutas de administración.
– Creación de procesos fuera del contexto habitual del sistema NVR.
– Conexiones salientes no autorizadas (reverse shells, beaconing a infraestructuras de C2).

Hasta la fecha, se han documentado casos de uso de frameworks como Metasploit y herramientas personalizadas para automatizar la explotación y el establecimiento de persistencia en estos dispositivos.

Impacto y Riesgos

El impacto de CVE-2023-52163 es elevado, considerando que los NVR suelen operar en segmentos de red sensibles y, en ocasiones, gestionan flujos de vídeo críticos para la seguridad física. Un atacante que logre explotar esta vulnerabilidad puede:

– Tomar control total del dispositivo.
– Pivotar lateralmente hacia otros sistemas de la red.
– Interceptar, manipular o borrar grabaciones de vídeo.
– Utilizar el NVR como punto de acceso para ataques más amplios (por ejemplo, ransomware o exfiltración de datos).

Según estimaciones del sector, hasta un 15% de los NVR Digiever DS-2105 Pro desplegados globalmente podrían estar expuestos a Internet sin las debidas medidas de seguridad. Los riesgos legales son significativos, especialmente bajo normativas como el GDPR y la Directiva NIS2, dado el potencial compromiso de datos personales e infraestructuras críticas.

Medidas de Mitigación y Recomendaciones

CISA ha instado a todas las organizaciones públicas y privadas a priorizar la actualización inmediata de los dispositivos afectados. Las recomendaciones incluyen:

– Aplicar los parches de seguridad proporcionados por Digiever para CVE-2023-52163.
– Cambiar todas las contraseñas por defecto y auditar las cuentas de usuario.
– Limitar el acceso a la interfaz de administración a rangos IP de confianza o VPN.
– Monitorizar los registros del NVR en busca de actividad anómala o comandos sospechosos.
– Implementar segmentación de red para aislar estos dispositivos de sistemas críticos.
– Realizar pruebas de penetración periódicas sobre los dispositivos IoT y sistemas de videovigilancia.

Opinión de Expertos

Analistas SOC y pentesters coinciden en que la proliferación de dispositivos IoT y NVR mal gestionados representa una amenaza creciente. «Hemos visto cómo los atacantes aprovechan vulnerabilidades en dispositivos aparentemente periféricos para ganar una posición inicial en la red», afirma Ana Rodríguez, CISO de una multinacional del sector energético. «La falta de actualizaciones y la sobreexposición a Internet son factores críticos en la explotación de CVE-2023-52163».

Implicaciones para Empresas y Usuarios

Para empresas, especialmente aquellas sujetas a regulaciones estrictas, la explotación de esta vulnerabilidad puede traducirse en sanciones económicas, daños reputacionales y la interrupción de servicios esenciales. Los usuarios domésticos y pequeñas empresas también están en riesgo, dado que los NVR suelen estar mal segmentados y expuestos a ataques automatizados.

Conclusiones

La inclusión de CVE-2023-52163 en el catálogo KEV de CISA resalta la importancia de gestionar proactivamente la ciberseguridad de dispositivos IoT y NVR. La explotación activa de esta vulnerabilidad pone de manifiesto la necesidad de políticas de actualización, segmentación y monitorización continua para salvaguardar tanto la infraestructura física como la digital de las organizaciones.

(Fuente: feeds.feedburner.com)