Vulnerabilità Critica nelle Telecamere Hikvision: Allarme per la Sicurezza di Milioni di Dispositivi

Telecamere Hikvision: Vulnerabilità Critica. Allarme per la sicurezza di milioni di dispositivi

Una nuova e pericolosa vulnerabilità, denominata CVE-2025-34067, permette agli hacker di assumere il controllo completo di milioni di telecamere e sistemi Hikvision, compromettendo privacy e sicurezza di aziende e privati. Il difetto consente l’accesso remoto, senza autenticazione o interazione dell’utente, facilitando furti di dati e installazione di malware.
Se usi sistemi Hikvision, aggiorna immediatamente il software all’ultima versione disponibile, monitora la rete per accessi insoliti e valuta la disattivazione di componenti vulnerabili.
Di seguito, un’analisi approfondita per capire l’origine, i rischi e le migliori strategie di difesa.

Hikvision è il più grande produttore mondiale di telecamere di videosorveglianza e sistemi di sicurezza digitale. I suoi prodotti sono ampiamente utilizzati da privati, aziende e pubbliche amministrazioni per la protezione di luoghi sensibili e dati critici. Proprio per questa diffusione, una vulnerabilità sui sistemi Hikvision rappresenta un rischio sistemico di portata globale.

Cosa è stato scoperto?

Nei primi giorni di luglio 2025 è stata pubblicata una nuova vulnerabilità che interessa la piattaforma HikCentral Integrated Security Management Platform. Si tratta del difetto CVE-2025-34067, un problema di livello “critico” che consente l’esecuzione di codice remoto (RCE: Remote Code Execution) senza autenticazione.

Il bug risiede nella gestione non sicura della deserializzazione di dati (conversione di informazioni “serializzate” in oggetti utilizzabili dal software) all’interno del componente applyCT, responsabile per la gestione di credenziali e autenticazione tra dispositivi gestiti centralmente. La falla è dovuta all’uso di una versione obsoleta e vulnerabile della libreria open source Fastjson.

Qual è l’impatto e perché è pericolosa?

  • Gravità massima: La vulnerabilità riceve un punteggio di 10/10 secondo la scala CVSS, la più alta possibile per i rischi informatici.
  • Attacco senza autenticazione: Gli attaccanti non necessitano di credenziali, né di alcuna interazione da parte dell’utente.
  • Controllo totale: Un hacker può eseguire comandi arbitrari sul server principale HikCentral e, di conseguenza, su tutti i dispositivi connessi (videocamere IP, DVR, server Windows dedicati ecc.).
  • Risultati dell’attacco: Possibile furto di dati video, credenziali di accesso, manomissione delle registrazioni, uso delle telecamere come ponti per entrare in altre reti.

Quanti dispositivi sono coinvolti?

Le stime attuali parlano di milioni di dispositivi potenzialmente vulnerabili in tutto il mondo. Sono colpite principalmente le infrastrutture dove le telecamere Hikvision sono centralmente gestite tramite HikCentral, ma anche altre piattaforme Hikvision potrebbero essere interessate.

Timeline della vulnerabilità

  • 30 giugno 2025: Ricercatori indipendenti segnalano la vulnerabilità a Hikvision.
  • 2 luglio 2025: Viene riservato il codice CVE-2025-34067 e pubblicata una hot-fix parziale da parte del produttore.
  • 3 luglio 2025: Vengono pubblicate online le prime prove di concetto (PoC) che dimostrano la possibilità di sfruttare il difetto a distanza.
  • 4 luglio 2025: La vulnerabilità entra nei database pubblici con severità massima.

Esistono exploit già pubblici?

Sì, sono già stati resi noti exploit pubblici che consentono di sfruttare la vulnerabilità su sistemi non aggiornati. Gli hacker possono utilizzare strumenti disponibili liberamente in rete per lanciare attacchi automatizzati su ampi numeri di bersagli.

La vulnerabilità è già sfruttata attivamente?

Ad oggi, non ci sono conferme ufficiali di attacchi “in the wild”, ma la presenza di exploit pubblici e la facilità di sfruttamento fa ritenere altamente probabile la rapida comparsa di attacchi reali.

Come funziona l’attacco?

L’attaccante invia una richiesta appositamente confezionata a un endpoint pubblico (/bic/ssoService/v1/applyCT) del server HikCentral, sfruttando la vulnerabilità di Fastjson per eseguire codice sul sistema. In alcuni casi viene utilizzata una catena di exploit che coinvolge oggetti Java e servizi LDAP, facilitando anche l’installazione di backdoor e malware persistente.

Quali sono i principali rischi per utenti e organizzazioni?

  • Furto di immagini e video sensibili: Accesso non autorizzato alle registrazioni delle telecamere.
  • Manipolazione delle registrazioni: Cancellazione o alterazione delle prove visive.
  • Movimentazione laterale: L’attaccante può sfruttare la posizione della piattaforma all’interno della rete aziendale per accedere ad altri sistemi critici.
  • Interruzione del servizio: Possibilità di mandare in crash i dispositivi o interrompere la videosorveglianza (attacchi Denial of Service).
  • Estorsione e ransomware: Utilizzo del controllo remoto per minacciare la pubblicazione di video privati.

Cosa fare subito: consigli pratici e azioni rapide

  • Aggiorna subito il software HikCentral alla versione 2.5.5 o successiva.
  • Se non è possibile aggiornare, disattiva l’endpoint vulnerabile (/bic/ssoService/).
  • Monitora i log del sistema per individuare accessi o attività insolite, in particolare collegamenti remoti e processi anomali.
  • Isola fisicamente i dispositivi vulnerabili da Internet o dalla rete aziendale fino all’installazione della patch.
  • Controlla il sito ufficiale Hikvision per news, aggiornamenti e tool di verifica.

Prevenzione e strategie per il futuro

Quando si tratta di dispositivi IoT e videosorveglianza:

  • Progetta le reti di videosorveglianza in modo segmentato, separando la gestione degli apparati dalla rete aziendale principale.
  • Mantieni sempre aggiornato il firmware, anche per dispositivi considerati “di nicchia”.
  • Disabilita tutte le funzionalità non necessarie, in particolare le interfacce di amministrazione esposte su Internet.
  • Effettua un audit periodico di tutti i dispositivi collegati (telecamere, DVR, NVR) per rilevare eventuali presenze non autorizzate o vulnerabilità note.
  • Riserva password forti e uniche per ogni dispositivo, cambiandole regolarmente.
  • Applica policy di principle of least privilege, concedendo agli utenti solo i diritti strettamente necessari.

Rischi per la privacy e la compliance

Le organizzazioni che gestiscono dati video (ad esempio enti pubblici, polizia, ospedali) devono considerare che la violazione di telecamere Hikvision può comportare la violazione di normative sulla privacy (es. GDPR in Europa), con responsabilità sia civili sia penali.

Il ruolo dei vendor e della comunità di sicurezza

Hikvision, come dichiarato pubblicamente, collabora con i ricercatori per la risoluzione delle falle e rilascia patch dopo la disclosure responsabile. Tuttavia, la complessità delle filiere IoT e il ritardo nell’applicazione degli aggiornamenti restano criticità ricorrenti.

Consigli/azioni avanzate:

  • Implementare sistemi di rilevamento intrusioni (IDS) specifici per le anomalie del traffico di rete dei dispositivi Hikvision.
  • Monitorare outbound LDAP e download di classi Java sospette dai sistemi di gestione.
  • Utilizzare firewall applicativi (WAF) per bloccare le richieste provenienti da IP o Paesi sospetti verso endpoint critici.
  • Effettuare penetration test regolari su tutte le piattaforme di videosorveglianza installate.
  • Formare periodicamente il personale IT su vettori d’attacco e best practice di sicurezza per dispositivi IoT e gestione video.

La vulnerabilità Hikvision evidenzia come la sicurezza degli “oggetti connessi” sia ormai fondamentale per la protezione generale di dati e infrastrutture. Intervenire rapidamente è essenziale: il rischio di compromissione non riguarda solo la privacy personale, ma l’intera sicurezza fisica e digitale di organizzazioni e cittadini.

Fonte: https://cybersecuritynews.com/hikvision-camera-vulnerability

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto