Antonio Piazzolla : 2 Settembre 2025 17:38
Alla fine di agosto 2025 è stata resa pubblica una vulnerabilità ad alto impatto che riguarda HikCentral Professional, la piattaforma di Hikvision usata per gestire in modo centralizzato videosorveglianza e controllo accessi. La falla, catalogata come CVE-2025-39247, ha un punteggio CVSS di 8.6 (High) e permette a un attaccante remoto di ottenere accesso amministrativo senza autenticazione. In altre parole: chiunque, via rete, può entrare nel cuore del sistema di gestione della sicurezza.
Gli ambienti che adottano HikCentral spesso lo considerano parte della “sicurezza fisica”, ma in realtà è un software esposto come qualsiasi altro servizio IT. Questo lo rende un bersaglio interessante: se compromesso, può fornire accesso non solo alle telecamere, ma anche a dati sensibili, configurazioni e potenzialmente all’intera rete aziendale.
In uno scenario reale, un attaccante potrebbe:
PARTE LA PROMO ESTATE -40%
RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!
Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
La vulnerabilità è di tipoImproper Access Control (CWE-284). In pratica, alcuni endpoint web/API di HikCentral non gestiscono correttamente i controlli di accesso. Il risultato è che richieste inviate senza credenziali vengono comunque trattate come privilegiate, permettendo l’escalation diretta a livello amministrativo.
Questo rende l’attacco estremamente semplice: non serve conoscenza approfondita del sistema, non servono credenziali rubate, non è necessaria interazione da parte dell’utente. È sufficiente essere in grado di raggiungere la porta del servizio.
Le versioni vulnerabili vanno dallaV2.3.1 alla V2.6.2, oltre allaV3.0.0. Hikvision ha già rilasciato aggiornamenti correttivi:
Chiunque utilizzi release precedenti dovrebbe aggiornare immediatamente.
Mitigazioni pratiche
Oltre all’aggiornamento, che resta la misura più efficace, ci sono alcune azioni di hardening consigliate:
Per facilitare il lavoro dei team IT e sicurezza, ecco i5 step essenziali per mitigare CVE-2025-39247:
Il caso diCVE-2025-39247 dimostra quanto sia rischioso sottovalutare i sistemi di sicurezza fisica. Non sono “black box” isolate, ma applicazioni IT esposte che meritano lo stesso livello di protezione dei sistemi core. Un exploit come questo può trasformare un sistema nato per proteggere in una porta d’ingresso per attacchi molto più gravi.
La priorità è quindi chiara:aggiornare subito, e contestualmente rafforzare i controlli di rete e monitoraggio. Solo così si riduce al minimo la finestra di esposizione e si garantisce che un sistema progettato per difendere non diventi la causa della compromissione.
Il 31 agosto 2025 il volo AAB53G, operato con un Dassault Falcon 900LX immatricolato OO-GPE e con a bordo la presidente della Commissione Europea Ursula von der Leyen, è decollato da Varsavia ed è a...
La recente conferma da parte di Zscaler riguardo a una violazione dati derivante da un attacco alla supply chain fornisce un caso studio sull’evoluzione delle minacce contro ecosistemi SaaS compless...
Proofpoint pubblica il report “Voice of the CISO 2025”: cresce il rischio legato all’AI e rimane il problema umano, mentre i CISO sono a rischio burnout. L’84% dei CISO italiani prevede un att...
La società QNAP Systems ha provveduto al rilascio di aggiornamenti di sicurezza al fine di eliminare varie vulnerabilità presenti nel firmware QVR dei sistemi VioStor Network Video Recorder (NVR). I...
Un episodio inquietante di guerra elettronica (Electronic War, EW) ha coinvolto direttamente la presidente della Commissione europea, Ursula von der Leyen. Durante l’avvicinamento all’aeroporto di...