Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
La Cybersecurity and Infrastructure Security Agency (CISA) ha emesso un avviso riguardante una vulnerabilità critica nei prodotti CCTV Honeywell. La vulnerabilità deriva da una svista su un endpoint API esposto che non riesce a verificare se un utente è autenticato prima di elaborare richieste sensibili.
“Il prodotto interessato è vulnerabile all’esposizione di un endpoint API non autenticato, che potrebbe consentire a un aggressore di modificare da remoto l’indirizzo email di recupero della ‘password dimenticata’“, avverte l’avviso. “Lo sfruttamento di questa vulnerabilità potrebbe portare all’appropriazione indebita di account e all’accesso non autorizzato ai feed delle telecamere”.
La falla, identificata con il codice CVE-2026-1670, ha un punteggio di gravità prossimo al massimo: 9,8 (CVSS) e consente agli aggressori di dirottare i flussi video delle telecamere senza mai conoscere la password dell’amministratore.
Come potete ben capire, il nocciolo del problema risiede nel meccanismo di recupero della password. In genere, la reimpostazione di una password richiede una prova di identità o l’accesso a un indirizzo email pre-verificato. Tuttavia, sui dispositivi Honeywell interessati, l’API consente a un utente non autenticato di modificare l’indirizzo email di recupero da remoto.
Una volta che l’aggressore imposta l’email di recupero su un indirizzo di sua proprietà, può semplicemente avviare una reimpostazione standard della password, bloccare gli amministratori legittimi e assumere il controllo completo del dispositivo.
Le conseguenze di un exploit riuscito sono gravi. Gli aggressori ottengono l’accesso non autorizzato ai flussi video in diretta, trasformando gli strumenti di sicurezza in armi di sorveglianza.
L’avviso elenca diversi modelli e versioni firmware specifici vulnerabili a questo attacco. Le organizzazioni che utilizzano i seguenti hardware dovrebbero verificare immediatamente il proprio inventario:
Considerato il punteggio CVSS di 9,8 e la bassa complessità richiesta per sfruttare questa falla , si invitano gli amministratori a isolare immediatamente le telecamere interessate dalla rete Internet pubblica e ad applicare gli aggiornamenti del firmware forniti dal fornitore non appena disponibili.
In queto caso, il rischio va oltre la privacy. Dispositivi IoT compromessi, come le telecamere a circuito chiuso, vengono spesso utilizzati come punti di accesso per gli attacchi laterali. Ottenendo un punto d’appoggio sulla telecamera, gli aggressori possono spostarsi su altri dispositivi sulla stessa rete.
