Videosorveglianza sotto attacco: Un bug in Hikvision consente accesso admin senza login

Antonio Piazzolla : 2 Settembre 2025 17:38

Alla fine di agosto 2025 è stata resa pubblica una vulnerabilità ad alto impatto che riguarda HikCentral Professional, la piattaforma di Hikvision usata per gestire in modo centralizzato videosorveglianza e controllo accessi. La falla, catalogata come CVE-2025-39247, ha un punteggio CVSS di 8.6 (High) e permette a un attaccante remoto di ottenere accesso amministrativo senza autenticazione. In altre parole: chiunque, via rete, può entrare nel cuore del sistema di gestione della sicurezza.

Perché è importante

Gli ambienti che adottano HikCentral spesso lo considerano parte della “sicurezza fisica”, ma in realtà è un software esposto come qualsiasi altro servizio IT. Questo lo rende un bersaglio interessante: se compromesso, può fornire accesso non solo alle telecamere, ma anche a dati sensibili, configurazioni e potenzialmente all’intera rete aziendale.

In uno scenario reale, un attaccante potrebbe:

• visualizzare e manipolare i flussi video;
• modificare impostazioni e utenti;
• sfruttare il server come punto di ingresso per movimenti laterali.

Dove sta il problema

Prova la Demo di Business Log! Adaptive SOC italiano Log management non solo per la grande Azienda, ma una suite di Audit file, controllo USB, asset, sicurezza e un Security Operation Center PERSONALE, che ti riporta tutte le operazioni necessarie al tuo PC per tutelare i tuoi dati e informati in caso di problemi nel tuo ambiente privato o di lavoro. Scarica ora la Demo di Business Log per 30gg Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

La vulnerabilità è di tipoImproper Access Control (CWE-284). In pratica, alcuni endpoint web/API di HikCentral non gestiscono correttamente i controlli di accesso. Il risultato è che richieste inviate senza credenziali vengono comunque trattate come privilegiate, permettendo l’escalation diretta a livello amministrativo.

Questo rende l’attacco estremamente semplice: non serve conoscenza approfondita del sistema, non servono credenziali rubate, non è necessaria interazione da parte dell’utente. È sufficiente essere in grado di raggiungere la porta del servizio.

Versioni coinvolte e fix

Le versioni vulnerabili vanno dallaV2.3.1 alla V2.6.2, oltre allaV3.0.0. Hikvision ha già rilasciato aggiornamenti correttivi:

• V2.6.3
• V3.0.1

Chiunque utilizzi release precedenti dovrebbe aggiornare immediatamente.

Mitigazioni pratiche

Oltre all’aggiornamento, che resta la misura più efficace, ci sono alcune azioni di hardening consigliate:

• Segmentare la rete: isolare i server HikCentral in VLAN dedicate, accessibili solo da subnet fidate.
• Limitare l’accesso: filtrare via firewall gli indirizzi che possono connettersi al servizio.
• Implementare un WAF: utile per intercettare richieste anomale agli endpoint.
• Monitorare i log: attivare alert per tentativi di accesso sospetti o non autorizzati.
• Applicare il principio del minimo privilegio: ridurre al minimo i diritti degli account interni.

Checklist operativa rapida

Per facilitare il lavoro dei team IT e sicurezza, ecco i5 step essenziali per mitigare CVE-2025-39247:

1. Aggiornare subito aV2.6.3 o V3.0.1.
2. Controllare la rete: isolare i server HikCentral in segmenti dedicati.
3. Limitare gli accessi esterni tramite firewall e VPN.
4. Abilitare logging avanzato e monitoraggio per individuare attività anomale.
5. Verificare i privilegi degli account ed eliminare eventuali utenze superflue.

Conclusione

Il caso diCVE-2025-39247 dimostra quanto sia rischioso sottovalutare i sistemi di sicurezza fisica. Non sono “black box” isolate, ma applicazioni IT esposte che meritano lo stesso livello di protezione dei sistemi core. Un exploit come questo può trasformare un sistema nato per proteggere in una porta d’ingresso per attacchi molto più gravi.

La priorità è quindi chiara:aggiornare subito, e contestualmente rafforzare i controlli di rete e monitoraggio. Solo così si riduce al minimo la finestra di esposizione e si garantisce che un sistema progettato per difendere non diventi la causa della compromissione.

Antonio Piazzolla
Responsabile IT Infrastructure & Security con oltre 20 anni di esperienza in ambienti enterprise complessi. In Casillo Group si occupa di continuità operativa, sicurezza e innovazione. Certificato Microsoft, VMware, Cisco e ITIL.

Lista degli articoli