Vulnerabilità critica Hikvision: come proteggere i sistemi di videosorveglianza

Vulnerabilità critica Hikvision: come proteggere i sistemi di videosorveglianza

Vulnerabilità critica Hikvision: come proteggere i sistemi di videosorveglianza

Cosa sta accadendo: la situazione in breve

Se gestisci una rete aziendale con telecamere di sorveglianza Hikvision, devi agire subito. Una vulnerabilità grave scoperta quasi un decennio fa continua a essere sfruttata dagli hacker nel 2026. L’agenzia federale americana CISA (Cybersecurity and Infrastructure Security Agency) ha aggiunto questo difetto al suo catalogo delle vulnerabilità attivamente sfruttate il 5 marzo 2026, fissando una scadenza perentoria: il 26 marzo 2026. In parole semplici: gli attaccanti possono entrare nelle tue telecamere senza conoscere la password, controllare le riprese in diretta, scaricare i video archiviati e usare i dispositivi come punto di accesso alla tua intera rete aziendale.

La soluzione veloce: Aggiorna immediatamente il firmware di tutte le telecamere Hikvision seguendo le istruzioni ufficiali del produttore. Se i dispositivi sono troppo vecchi per ricevere aggiornamenti, isolali dalla rete o sostituiscili prima del 26 marzo.

Quale vulnerabilità stiamo affrontando?

La falla è identificata come CVE-2017-7921 ed è classificata con il punteggio CVSS massimo di 9.8, il livello più critico possibile. Colpisce diverse serie di telecamere IP Hikvision che eseguono versioni obsolete del firmware.

Il problema fondamentale riguarda l’autenticazione impropria, una categoria tecnica nota come CWE-287. In un sistema sicuro, i protocolli di autenticazione verificano l’identità dell’utente prima di concedere l’accesso alle funzioni. Questa vulnerabilità bypassa completamente questo processo di controllo.

Quando un attaccante invia richieste appositamente costruite al dispositivo Hikvision interessato, il sistema non valida correttamente le credenziali fornite. Di conseguenza, un utente non autorizzato può interagire con la telecamera come se fosse un amministratore completamente autenticato, senza mai fornire una password valida.

Perché rappresenta un rischio così grave?

Le telecamere di sorveglianza potrebbero sembrare dispositivi isolati, ma nella maggior parte delle aziende sono connesse direttamente alle reti aziendali. Quando un attaccante compromette una telecamera Hikvision, ottiene molto più di un semplice accesso al video.

Accesso ai dati sensibili: Una volta dentro il sistema, gli attaccanti possono visualizzare i flussi video in diretta, scaricare tutti i filmati archiviati e estrarre file di configurazione contenenti password di rete e credenziali di accesso ad altri sistemi.

Punto di ingresso per attacchi più ampi: Le telecamere compromesse diventano una porta tranquilla verso la rete interna. Gli attaccanti possono usarle per monitorare i movimenti all’interno della struttura, tracciare le routine del personale di sicurezza e pianificare attacchi più sofisticati contro server critici e workstation dei dipendenti.

Escalation dei privilegi: Il termine “escalation dei privilegi” significa che un attaccante con accesso limitato ottiene permessi amministrativi. In questo caso, chiunque acceda alla telecamera ottiene immediatamente i diritti di amministratore, amplificando enormemente il danno potenziale.

Obiettivo frequente per gli attaccanti iniziali: I dispositivi IoT non aggiornati, come queste telecamere, sono bersagli preferiti dai broker di accesso iniziale, gli attaccanti che cercano il primo punto di ingresso in una rete aziendale per poi venderlo a ransomware gang o altri criminali.

Timeline: come siamo arrivati qui?

Questa non è una vulnerabilità recente. Hikvision l’ha segnalata nel marzo 2017 e l’ICS-CERT ha pubblicato un avviso nel maggio 2017. Per quasi nove anni, questa falla è rimasta nota ma non è stata corretta in molti dispositivi.

Nel gennaio 2025, Fortinet ha pubblicato un rapporto sui primi tentativi di sfruttamento. A settembre 2025, il SANS Internet Storm Center ha confermato che gli attacchi erano già in corso. Infine, il 5 marzo 2026, CISA ha ufficialmente aggiunto la vulnerabilità al suo catalogo Known Exploited Vulnerabilities, riconoscendo che gli attaccanti la stanno sfruttando attivamente in situazioni reali.

Cosa devi fare ora: il piano d’azione

Entro il 26 marzo 2026 (scadenza federale)

CISA ha emesso una direttiva vincolante (BOD 22-01) che obbliga le agenzie federali a:

  1. Applicare tutte le mitigazioni secondo le istruzioni ufficiali di Hikvision
  2. Implementare le linee guida BOD 22-01 per i servizi cloud
  3. Interrompere l’uso del prodotto se le mitigazioni non sono disponibili

Sebbene questa scadenza sia tecnicamente rivolta alle agenzie federali americane, le aziende private dovrebbero adottare lo stesso calendario aggressivo per evitare violazioni della sicurezza fisica e digitale.

Passaggi concreti per le organizzazioni

Fase 1 – Inventario: Esegui un audit completo della tua rete per identificare tutti i dispositivi Hikvision attivi, incluse telecamere IP e registratori video di rete (NVR).

Fase 2 – Valutazione: Determina quale versione del firmware è installata su ogni dispositivo e se sono disponibili aggiornamenti di sicurezza dal produttore.

Fase 3 – Patching: Applica tutti gli aggiornamenti del firmware esattamente come descritto nelle istruzioni ufficiali di Hikvision. Questo è il primo livello di difesa.

Fase 4 – Gestione dei dispositivi legacy: Se i dispositivi sono troppo vecchi per ricevere aggiornamenti o se il produttore non ha fornito patch di sicurezza, hai due opzioni:

  • Isolare immediatamente il dispositivo dalla rete aziendale principale
  • Sostituire il dispositivo con un modello più recente che riceve regolari aggiornamenti di sicurezza

Fase 5 – Segmentazione della rete: Considera di posizionare i sistemi di videosorveglianza su una VLAN (Virtual LAN) separata, isolata dai server critici e dalle workstation dei dipendenti. Questo limita il danno se una telecamera viene compromessa.

Technical Deep Dive

Per i professionisti IT e gli amministratori di sistema, ecco informazioni tecniche più dettagliate.

Meccanismo di sfruttamento

La vulnerabilità CVE-2017-7921 sfrutta un difetto nel modo in cui il firmware Hikvision gestisce le richieste di autenticazione. Analizzando i pacchetti di rete, gli attaccanti hanno scoperto che è possibile inviare richieste HTTP POST appositamente costruite ai servizi web del dispositivo senza fornire token di sessione validi o credenziali di base64.

Il dispositivo non convalida correttamente il campo di autorizzazione nell’intestazione HTTP, consentendo a chiunque di accedere agli endpoint amministrativi. Questo è un classico esempio di fallimento nell’implementazione di controlli di accesso, dove il meccanismo di autenticazione è completamente bypassato piuttosto che debilitato.

Versioni interessate e vettori di attacco

La vulnerabilità colpisce le seguenti serie di telecamere IP Hikvision (non esaustivo):

  • DS-2CD2xxx (serie 2000)
  • DS-2CD4xxx (serie 4000)
  • DS-2DF5xxx (telecamere PTZ)

Gli attaccanti possono sfruttare questa falla attraverso:

  • Accesso diretto alla rete locale se il dispositivo è esposto
  • Port forwarding se la telecamera è accessibile da internet
  • Scansione di reti aziendali per identificare dispositivi vulnerabili utilizzando tool come Shodan o Censys

Impatto sulla segurezza della rete

Una volta ottenuto l’accesso amministrativo, gli attaccanti possono:

  • Modificare le impostazioni di rete del dispositivo
  • Configurare il reindirizzamento del traffico (man-in-the-middle)
  • Installare firmware modificato per la persistenza a lungo termine
  • Usare il dispositivo come proxy per attacchi laterali verso altri sistemi
  • Disabilitare gli alert di sicurezza o modificare i log per coprire le tracce

Strategie di mitigazione avanzate

Oltre all’aggiornamento del firmware:

  1. Firewall e ACL: Implementa Access Control List ristrittive che limitano l’accesso ai servizi web della telecamera solo da indirizzi IP amministrativi autorizzati.

  2. Network segmentation: Utilizza VLAN separate e firewall di rete per isolare i dispositivi IoT dai server critici.

  3. Monitoraggio del traffico: Configura IDS/IPS per rilevare tentativi di accesso non autorizzato ai servizi amministrativi delle telecamere.

  4. Cambio delle credenziali predefinite: Anche se la vulnerabilità bypassa l’autenticazione, cambia sempre le credenziali predefinite per ogni dispositivo.

  5. Disabilitazione dei servizi non necessari: Se la telecamera non necessita di accesso web remoto, disabilita il servizio HTTP/HTTPS.

  6. Auditing regolare: Implementa script di scansione periodici per identificare dispositivi Hikvision sulla rete e verificare le versioni del firmware.

Considerazioni sulla sostituzione

Se decidi di sostituire i dispositivi, valuta produttori che offrono:

  • Cicli di aggiornamento regolari e documentati
  • Supporto di lungo termine (almeno 5-7 anni)
  • Certificazioni di sicurezza (Common Criteria, FIPS)
  • Architetture di rete zero-trust
  • Telemetria di sicurezza integrata

Fonte: https://cybersecuritynews.com/hikvision-multiple-products-vulnerability/

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto