物聯網設備安全預警與 CISA 政策動態

美國網路安全與基礎設施安全局 (CISA)將影響 Digiever DS-2105 Pro 網路錄影機 (NVR) 的安全漏洞添加到其已知利用漏洞 (KEV ) 目錄中，並指出有證據表明該漏洞已被積極利用。此漏洞編號為CVE-2023-52163（CVSS 評分：8.8），涉及指令注入，允許在驗證後執行遠端程式碼。美國網路安全和基礎設施安全局 (CISA) 表示：Digiever DS-2105 Pro 存在授權漏洞，攻擊者可能透過time_tzsetup.cgi 進行命令注入。CVE-2023-52163被添加到 KEV 目錄中，是因為 Akamai 和 Fortinet 多次報告稱，威脅行為者利用該漏洞傳播Mirai和ShadowV2等殭屍網路。

技術漏洞剖析與攻擊路徑分析

CVE-2023-52163 的核心問題在於設備處理 Web 管理介面請求時缺乏嚴格的輸入驗證。具體而言，漏洞發生在 time_tzsetup.cgi 組件中。攻擊者在獲得低權限或預設憑證登入後，可透過精心構造的 HTTP 請求，將惡意系統指令注入到時區設置參數中。由於系統底層以高權限執行該 CGI 腳本，注入的指令將直接在作業系統層級執行。

據TXOne Research安全研究員 Ta-Lun Yen 稱，由於該設備已達到使用壽命終止(EoL) 狀態，該漏洞以及任意文件讀取漏洞(CVE-2023-52164，CVSS 評分：5.1) 仍未得到修補。這意味著傳統的軟體更新手段已失效，受影響的設備在面對現代化攻擊工具時處於完全無防禦狀態。

殭屍網絡的滲透與生態系統威脅

此漏洞之所以引起國際關注，主因在於其已被大規模自動化攻擊工具鎖定。Akamai 與 Fortinet 的威脅情報顯示，多個殭屍網絡家族，特別是惡名昭彰的 Mirai 變種以及新興的 ShadowV2，正積極掃描全球網路中的 Digiever 設備。

這些殭屍網絡利用 NVR 設備強大的計算資源與高帶寬連接，將受感染的設備轉化為攻擊節點，執行大規模分散式阻斷服務攻擊 (DDoS)、暴力破解或作為跳板進入企業內網。由於 NVR 通常 24 小時在線且防護脆弱，它們已成為網路犯罪集團最青睞的目標之一。

EoL 產品帶來的供應鏈與生命週期安全風險

Digiever DS-2105 Pro 的案例凸顯了「產品壽命終止」(End-of-Life, EoL) 設備在現代網路安全環境中的致命缺陷。當廠商停止提供技術支援與安全補丁，任何新發現的漏洞都會變成永久性的「零日漏洞」。

對於企業用戶而言，繼續使用 EoL 設備不僅違反了合規性要求，更為攻擊者提供了長期駐留的機會。CVE-2023-52163 與 CVE-2023-52164 的並存，讓攻擊者既能讀取設備敏感配置文件，又能執行惡意程式碼，形成完整的攻擊鏈。

防禦策略與緩解建議

成功利用此漏洞需要攻擊者登入裝置並執行精心建構的請求，在補丁發布之前，建議用戶避免將設備暴露於互聯網，並更改預設用戶名和密碼。此外，應採取微隔離 (Micro-segmentation) 技術，將 NVR 設備限制在獨立的 VLAN 中，並禁止其主動對外通訊，除非是必要的雲端服務需求。

CISA 也建議聯邦民事行政部門 (FCEB) 機構在 2025 年 1 月 12 日之前採取必要的緩解措施或停止使用該產品，以保護其網路免受活躍威脅。這項行政命令具有指標性意義，提醒所有政府機關與民間企業，對於無法修補的受攻擊設備，唯一的最終解決方案通常是將其徹底移除並更換為具備持續安全支援的新型設備。

結論與未來展望

Digiever NVR 漏洞被納入 KEV 目錄，標誌著物聯網設備安全已進入關鍵管控期。台灣作為全球硬體製造重鎮，相關設備的安全生命週期管理將面臨更嚴格的國際審視。企業應建立完善的資產清單，定期審核設備的支援狀態，避免因單一 EoL 設備的疏忽而導致整體網路安全架構的崩潰。在威脅行為者不斷利用舊漏洞擴張殭屍網絡版圖的當下，主動淘汰高風險產品已不再是選項，而是確保業務連續性的必要投資。