Videovigilancia bajo ataque: un fallo en Hikvision permite el acceso de administrador sin iniciar sesión

Antonio Piazzolla : 2 septiembre 2025 17:40

A finales de agosto de 2025, se reveló una vulnerabilidad de alto impacto que afectaba a HikCentral Professional, la plataforma de Hikvision utilizada para la gestión centralizada de videovigilancia y control de acceso. La falla, clasificada como CVE-2025-39247, tiene una puntuación CVSS de 8.6 (Alta) y permite a un atacante remoto obtener acceso administrativo sin autenticación. En otras palabras: cualquier persona, a través de la red, puede acceder al núcleo del sistema de gestión de seguridad.

Por qué es importante

Los entornos que adoptan HikCentral a menudo lo consideran parte de la «seguridad física», pero en realidad es software expuesto como cualquier otro servicio de TI. Esto lo convierte en un objetivo atractivo: si se ve comprometido, podría proporcionar acceso no solo a las cámaras, sino también a datos confidenciales, configuraciones y, potencialmente, a toda la red corporativa.

En un escenario real, un atacante podría:

• ver y manipular transmisiones de video;
• modificar la configuración y los usuarios;
• explotar el servidor como punto de entrada para ataques laterales Movimiento.

¿Dónde está el problema?

La vulnerabilidad es el Control de Acceso Inadecuado (CWE-284). En esencia, algunos endpoints web/API de HikCentral no gestionan correctamente los controles de acceso. Como resultado, las solicitudes enviadas sin credenciales se siguen tratando como privilegiadas, lo que permite la escalada directa al nivel administrativo.

Esto simplifica enormemente el ataque: no se requiere un conocimiento profundo del sistema, ni credenciales robadas, ni interacción del usuario. Solo necesitas poder acceder al puerto de servicio.

Versiones afectadas y soluciones

Las versiones vulnerables van desde la V2.3.1 a la V2.6.2, así como la V3.0.0. Hikvision ya ha publicado actualizaciones correctivas:

• V2.6.3
• V3.0.1

Cualquier persona que utilice versiones anteriores debe actualizar inmediatamente.

Mitigaciones prácticas

Además de la actualización, que sigue siendo la medida más eficaz, se recomiendan algunas acciones de refuerzo:

• Segmentar la red: aislar los servidores de HikCentral en VLAN dedicadas, accesibles solo desde subredes de confianza.
• Limitar el acceso: filtrar las direcciones que pueden conectarse al servicio a través de un firewall.
• Implementar un WAF: útil para interceptar Solicitudes anómalas a endpoints.
• Monitorizar registros: Activar alertas ante intentos de acceso sospechosos o no autorizados.
• Aplicar el principio del mínimo privilegio: Minimizar los derechos de las cuentas internas.

Lista de verificación operativa rápida

Para facilitar el trabajo de los equipos de TI y seguridad, aquí están los 5 elementos esenciales Pasos para mitigar CVE-2025-39247:

1. Actualizar ahora a la versión 2.6.3 o 3.0.1.
2. Controlar la red: Aísle los servidores de HikCentral en segmentos dedicados.
3. Limite el acceso externo mediante firewalls y VPN.
4. Habilite el registro y la monitorización avanzados para detectar actividad anómala.
5. Verifique los privilegios de la cuenta y elimine las cuentas innecesarias.

Conclusión

El caso CVE-2025-39247 demuestra el riesgo de subestimar los sistemas de seguridad física. No son «cajas negras» aisladas, sino aplicaciones de TI expuestas que merecen el mismo nivel de protección que los sistemas principales. Un exploit como este puede convertir un sistema diseñado para proteger en una puerta de entrada para ataques mucho más graves.

Por lo tanto, la prioridad es clara: actualizar de inmediato, a la vez que se refuerzan los controles y la monitorización de la red. Solo así se puede minimizar la ventana de exposición y garantizar que un sistema diseñado para defender no se convierta en la fuente de la vulnerabilidad.

Antonio Piazzolla


Lista degli articoli