# CVE-2023-52163 - Injeção de Comandos sem Autenticação em NVR DigiEver > [!high] > Vulnerabilidade crítica de autorização ausente no DigiEver DS-2105 Pro permite que atacantes remotos executem comandos arbitrários sem autenticação através da interface CGI. Adicionada ao CISA KEV em dezembro de 2025 com exploração ativa confirmada. ## Visão Geral O CVE-2023-52163 é uma vulnerabilidade de autorização ausente (CWE-862) que afeta os gravadores de vídeo em rede (NVR) DigiEver DS-2105 Pro. A falha reside na interface `time_tzsetup.cgi`, que não válida adequadamente permissões de usuário antes de executar comandos do sistema, permitindo que atacantes remotos não autenticados injetem e executem comandos arbitrários no dispositivo. Gravadores de vídeo em rede são amplamente utilizados em ambientes corporativos, instalações governamentais e infraestrutura crítica para gerenciar câmeras de segurança e armazenamento de vídeo. A comprometimento desses dispositivos pode permitir manipulação de imagens de vigilância, desativação de câmeras e uso do dispositivo como pivô para acesso a redes internas mais sensíveis. A inclusão desta vulnerabilidade no catálogo CISA Known Exploited Vulnerabilities (KEV) em 22 de dezembro de 2025 confirma exploração ativa. Agências federais dos EUA tiveram prazo até 12 de janeiro de 2026 para remediar, evidênciando a urgência da falha. A natureza do produto - dispositivos IoT de segurança física - torna esta vulnerabilidade particularmente preocupante, pois compromete simultaneamente segurança digital e física. ## Produtos Afetados | Produto | Vendor | Versões Afetadas | Status do Patch | |---------|--------|-----------------|-----------------| | DS-2105 Pro NVR | DigiEver | Todas as versões | Sem patch disponível (EoL) | ## Detalhes Técnicos A vulnerabilidade explora a ausência de verificação de autorização no endpoint `time_tzsetup.cgi`, responsável pela configuração de fuso horário do dispositivo. A interface aceita parâmetros de entrada sem válidar a autenticidade ou privilégios do solicitante, permitindo injeção de comandos do sistema operacional. **Vetor de ataque:** Rede (remoto, sem autenticação) **Complexidade:** Baixa **Tipo:** Command Injection via Missing Authorization (CWE-862) As consequências da exploração incluem: - Execução de comandos arbitrários no sistema operacional do NVR - Acesso a feeds de câmera e manipulação de imagens de vigilância - Estabelecimento de acesso persistente ao dispositivo - Uso do NVR comprometido como ponto de pivô na rede interna ## Mitigação Não há patch disponível para o DigiEver DS-2105 Pro, pois o dispositivo foi descontinuado. As organizações afetadas devem: 1. **Descontinuar o uso** - Substituir dispositivos DS-2105 Pro por modelos suportados com patches de segurança ativos 2. **Segmentação de rede** - Isolar dispositivos NVR em VLANs separadas sem acesso direto à Internet ou a redes corporativas críticas 3. **Monitoramento** - Revisar logs de acesso em busca de atividade suspeita na interface de administração 4. **Bloqueio de acesso** - Restringir acesso à interface de gerenciamento por firewall > [!latam] > Dispositivos NVR e câmeras IP são amplamente utilizados em empresas, bancos e instalações governamentais no Brasil e LATAM. A vulnerabilidade em dispositivos IoT de segurança física representa um vetor de acesso significativo para atacantes que visam infraestruturas críticas na região. Organizações de segurança privada e câmeras públicas de vigilância urbana podem estar expostas. O CERT.br recomenda inventariar dispositivos IoT de vigilância e verificar modelos afetados. ## Indicadores de Comprometimento > [!ioc]- IOCs - DigiEver CVE-2023-52163 (TLP:CLEAR) > **Comportamento suspeito:** > - Requisições HTTP para `time_tzsetup.cgi` com parâmetros de comando incomuns > - Processos inesperados iniciados pelo processo CGI do NVR > - Conexões de saída não autorizadas a partir do IP do NVR > > **Fontes:** [CISA KEV](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) · [Cryptika](https://www.cryptika.com/cisa-adds-digiever-authorization-vulnerability-to-kev-list-following-active-exploitation/) ## Notas Relacionadas **TTPs:** [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] · [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] **Mitigações:** [[m1030-network-segmentation|M1030 - Segmentação de Rede]] · [[m1051-update-software|M1051 - Atualização de Software]] **Setores em risco:** [[government]] · [[critical-infrastructure]] ## Referências - [NVD](https://nvd.nist.gov/vuln/detail/CVE-2023-52163) - [CISA KEV](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [Cryptika Analysis](https://www.cryptika.com/cisa-adds-digiever-authorization-vulnerability-to-kev-list-following-active-exploitation/) - [CyberPress Coverage](https://cyberpress.org/cisa-flags-kev-catalog/)