Telecamere D-Link sotto attacco! Gli hacker sfruttano ancora vulnerabilità del 2020. Il CISA Avverte

Di recente, i criminali informatici si sono nuovamente concentrati su vecchie vulnerabilità presenti nelle popolari telecamere Wi-Fi e nei DVR D-Link. La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha ufficialmente aggiunto tre pericolose vulnerabilità al suo catalogo di minacce attivamente sfruttate (KEV), nonostante siano state tutte scoperte diversi anni fa. Questa decisione è stata presa alla luce di nuove prove che dimostrano che gli aggressori continuano ad attaccare dispositivi vulnerabili in tutto il mondo e che attacchi sono già stati registrati in reti reali.

L’elenco CISA include tre vulnerabilità relative ai dispositivi D-Link DCS-2530L, DCS-2670L e DNR-322L. La prima, CVE-2020-25078 con un punteggio CVSS di 7,5, consente l’accesso remoto alla password di amministratore della telecamera. Non sono richieste tecniche complesse per lo sfruttamento; è sufficiente sfruttare una falla nei meccanismi di sicurezza di questi modelli per scoprire i dati chiave per l’accesso al dispositivo.

Il secondo problema, CVE-2020-25079 con un punteggio più alto di 8,8, è legato alla capacità di eseguire comandi sul sistema tramite il componente cgi-bin/ddns_enc.cgi. Per sfruttare questa falla è richiesta l’autorizzazione, ma una volta ottenuto l’accesso, l’aggressore può iniettare i propri comandi nel dispositivo, ampliando significativamente le capacità di controllo della telecamera.

Anche la terza vulnerabilità, CVE-2020-40799 , ha un punteggio di 8,8. Riguarda la mancanza di controllo di integrità durante il caricamento del codice sul videoregistratore D-Link DNR-322L, che consente di eseguire comandi arbitrari a livello di sistema operativo dopo aver ottenuto l’autorizzazione, aprendo la strada all’installazione di malware e a un ulteriore controllo sull’apparecchiatura.

Di particolare rilievo è il fatto che la vulnerabilità CVE-2020-40799 non è ancora stata risolta dal produttore.

Il motivo è che il modello DNR-322L è ufficialmente riconosciuto come obsoleto e non è più supportato da D-Link: il suo ciclo di vita è terminato a novembre 2021. Si consiglia ai proprietari di questi dispositivi di interromperne l’utilizzo il prima possibile e di passare a soluzioni più moderne, in cui le falle siano state risolte. Le patch per gli altri due modelli sono state rilasciate nel 2020; tuttavia, come mostrano le statistiche, molte organizzazioni e utenti privati non hanno ancora aggiornato le proprie apparecchiature e sono a rischio.

La rilevanza del problema è confermata dal fatto che già nel dicembre 2024 l’FBI (Federal Bureau of Investigation) statunitense aveva emesso un avviso secondo cui la botnet HiatusRAT stava attivamente scansionando Internet alla ricerca di telecamere con una vulnerabilità non corretta, la CVE-2020-25078. Ciò significa che dispositivi incontrollati possono essere utilizzati per attività di spionaggio, attacchi alle infrastrutture e persino per organizzare nuove botnet: eventi simili sono già stati registrati più di una volta in diversi Paesi.

Alle agenzie civili federali degli Stati Uniti è stata data una scadenza rigorosa: tutte le misure per neutralizzare le vulnerabilità devono essere implementate entro il 26 agosto 2025. Tali ordini mirano a proteggere le reti critiche da attacchi che potrebbero portare a fughe di dati, interferenze con la videosorveglianza e altre conseguenze pericolose. Nel contesto odierno, le telecamere non protette stanno diventando non solo un bersaglio per gli hacker, ma anche uno strumento per campagne informatiche su larga scala, e la loro distribuzione di massa non fa che aggravare i rischi.

Nella situazione attuale, il compito di aggiornare tempestivamente tutti i dispositivi utilizzati nelle reti aziendali e domestiche, nonché la dismissione obbligatoria dei modelli non supportati, sta diventando sempre più urgente. Proteggere l’infrastruttura digitale oggi è impossibile senza una risposta tempestiva all’emergere di minacce anche “obsolete”, soprattutto quando vengono utilizzate attivamente da veri aggressori.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Sandro Sana

Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Aree di competenza: Cyber Threat Intelligence, NIS2, Governance & Compliance della Sicurezza, CSIRT & Crisis Management, Ricerca, Divulgazione e Cultura Cyber

Visita il sito web dell'autore