Netcrook Logo
👤 LOGICFALCON
🗓️ 25 Dec 2025   🌍 North America

Yeux grands ouverts, menaces invisibles : la faille Digiever NVR qui met en péril les réseaux de vidéosurveillance

Sous-titre : Une vulnérabilité critique dans les enregistreurs vidéo réseau de Digiever est activement exploitée, exposant les systèmes de surveillance à un détournement à distance - et aucune solution n’est en vue.

Imaginez que les caméras de sécurité censées protéger votre établissement deviennent les outils mêmes que les attaquants utilisent pour infiltrer votre réseau. C’est la réalité glaçante à laquelle sont désormais confrontées d’innombrables organisations qui s’appuient sur les enregistreurs vidéo réseau (NVR) Digiever DS-2105 Pro, après la découverte d’une vulnérabilité grave qui est exploitée dans la nature - tandis que les utilisateurs restent sans correctif ni recours.

En bref

  • Vulnérabilité : CVE-2023-52163 permet l’exécution de code à distance après authentification via une injection de commande.
  • Appareils concernés : NVR Digiever DS-2105 Pro, désormais en fin de vie et non corrigés.
  • Exploitation : Les attaquants exploitent la faille pour déployer des botnets comme Mirai et ShadowV2.
  • Atténuation : La CISA exhorte les utilisateurs à déconnecter les appareils d’internet et à changer les identifiants par défaut.
  • Date limite : Les agences fédérales américaines doivent atténuer ou retirer les appareils concernés avant le 12 janvier 2025.

Anatomie d’une menace non corrigée

L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a lancé un avertissement sévère aux organisations exploitant des NVR Digiever DS-2105 Pro. Répertoriée sous le nom CVE-2023-52163 et affichant un score impressionnant de 8,8 sur l’échelle CVSS, la faille permet aux attaquants d’injecter des commandes malveillantes après connexion - leur donnant ainsi les clés du royaume de la vidéosurveillance. Cette faille de sécurité provient d’un manque de vérification d’autorisation dans un composant appelé time_tzsetup.cgi.

Mais le vrai problème ? Le fabricant a déclaré l’appareil en fin de vie, ce qui signifie qu’aucun correctif ne sera publié. Des chercheurs en sécurité, dont Ta-Lun Yen de TXOne Research, ont confirmé que cette vulnérabilité - ainsi qu’un bug connexe de lecture de fichiers - resteront probablement des portes ouvertes pour les acteurs malveillants.

Des rapports d’Akamai et Fortinet montrent que des attaquants exploitent la faille pour enrôler des NVR vulnérables dans des botnets notoires comme Mirai et ShadowV2. Ces botnets sont tristement célèbres pour lancer d’énormes attaques par déni de service distribué (DDoS) et alimenter d’autres cybercrimes. Bien que les attaquants doivent d’abord se connecter, des identifiants par défaut ou faibles rendent souvent l’intrusion triviale, surtout lorsque les appareils sont exposés à internet.

Le conseil de la CISA est sans détour : mettez ces appareils hors ligne, changez tous les mots de passe par défaut et évitez de les exposer à des réseaux externes. Pour les agences fédérales, le temps presse - atténuez ou mettez hors service les NVR concernés avant le 12 janvier 2025 pour éviter de devenir la prochaine victime.

Pas de correctifs, seulement des choix

Cet incident rappelle brutalement les risques posés par le matériel abandonné. Lorsque les appareils atteignent la fin de vie, les mises à jour de sécurité cessent - mais les vulnérabilités, elles, subsistent. Les organisations qui s’appuient sur des systèmes de surveillance non corrigés et exposés à internet sont désormais des cibles de choix, leurs « yeux grands ouverts » pouvant se retourner contre elles sous l’action d’adversaires invisibles.

La leçon est claire : la sécurité ne s’arrête pas à l’installation. Vigilance, mises à jour régulières et volonté de retirer les technologies non supportées sont désormais essentielles pour protéger les surveillants des surveillés.

WIKICROOK

  • Injection de commande : L’injection de commande est une vulnérabilité où les attaquants trompent les systèmes pour exécuter des commandes non autorisées en insérant des entrées malveillantes dans des champs ou interfaces utilisateur.
  • Exécution de code à distance (RCE) : L’exécution de code à distance (RCE) se produit lorsqu’un attaquant exécute son propre code sur le système d’une victime, menant souvent à un contrôle total ou à la compromission du système.
  • Botnet : Un botnet est un réseau d’appareils infectés contrôlés à distance par des cybercriminels, souvent utilisé pour lancer des attaques à grande échelle ou voler des données sensibles.
  • Chiffrement de bout en bout : Le chiffrement de bout en bout est une méthode de sécurité où seuls l’expéditeur et le destinataire peuvent lire les messages, gardant les données privées face aux fournisseurs de services et aux pirates.
  • Identifiants par défaut : Les identifiants par défaut sont des noms d’utilisateur et mots de passe prédéfinis sur des appareils ou logiciels, souvent laissés inchangés et facilement devinés par les attaquants, ce qui pose des risques de sécurité.
Digiever NVR Cybersecurity Command Injection
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news