Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Videosorveglianza sotto attacco: Un bug in Hikvision consente accesso admin senza login

Antonio Piazzolla : 2 Settembre 2025 17:38

Alla fine di agosto 2025 è stata resa pubblica una vulnerabilità ad alto impatto che riguarda HikCentral Professional, la piattaforma di Hikvision usata per gestire in modo centralizzato videosorveglianza e controllo accessi. La falla, catalogata come CVE-2025-39247, ha un punteggio CVSS di 8.6 (High) e permette a un attaccante remoto di ottenere accesso amministrativo senza autenticazione. In altre parole: chiunque, via rete, può entrare nel cuore del sistema di gestione della sicurezza.

Perché è importante

Gli ambienti che adottano HikCentral spesso lo considerano parte della “sicurezza fisica”, ma in realtà è un software esposto come qualsiasi altro servizio IT. Questo lo rende un bersaglio interessante: se compromesso, può fornire accesso non solo alle telecamere, ma anche a dati sensibili, configurazioni e potenzialmente all’intera rete aziendale.

In uno scenario reale, un attaccante potrebbe:

  • visualizzare e manipolare i flussi video;
  • modificare impostazioni e utenti;
  • sfruttare il server come punto di ingresso per movimenti laterali.

Dove sta il problema


PARTE LA PROMO ESTATE -40%

RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!

Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]


Supporta RHC attraverso:
  • L'acquisto del fumetto sul Cybersecurity Awareness
  • Ascoltando i nostri Podcast
  • Seguendo RHC su WhatsApp
  • Seguendo RHC su Telegram
  • Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab


  • Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


    La vulnerabilità è di tipoImproper Access Control (CWE-284). In pratica, alcuni endpoint web/API di HikCentral non gestiscono correttamente i controlli di accesso. Il risultato è che richieste inviate senza credenziali vengono comunque trattate come privilegiate, permettendo l’escalation diretta a livello amministrativo.

    Questo rende l’attacco estremamente semplice: non serve conoscenza approfondita del sistema, non servono credenziali rubate, non è necessaria interazione da parte dell’utente. È sufficiente essere in grado di raggiungere la porta del servizio.

    Versioni coinvolte e fix

    Le versioni vulnerabili vanno dallaV2.3.1 alla V2.6.2, oltre allaV3.0.0. Hikvision ha già rilasciato aggiornamenti correttivi:

    • V2.6.3
    • V3.0.1

    Chiunque utilizzi release precedenti dovrebbe aggiornare immediatamente.

    Mitigazioni pratiche

    Oltre all’aggiornamento, che resta la misura più efficace, ci sono alcune azioni di hardening consigliate:

    • Segmentare la rete: isolare i server HikCentral in VLAN dedicate, accessibili solo da subnet fidate.
    • Limitare l’accesso: filtrare via firewall gli indirizzi che possono connettersi al servizio.
    • Implementare un WAF: utile per intercettare richieste anomale agli endpoint.
    • Monitorare i log: attivare alert per tentativi di accesso sospetti o non autorizzati.
    • Applicare il principio del minimo privilegio: ridurre al minimo i diritti degli account interni.

    Checklist operativa rapida

    Per facilitare il lavoro dei team IT e sicurezza, ecco i5 step essenziali per mitigare CVE-2025-39247:

    1. Aggiornare subito aV2.6.3 o V3.0.1.
    2. Controllare la rete: isolare i server HikCentral in segmenti dedicati.
    3. Limitare gli accessi esterni tramite firewall e VPN.
    4. Abilitare logging avanzato e monitoraggio per individuare attività anomale.
    5. Verificare i privilegi degli account ed eliminare eventuali utenze superflue.

    Conclusione

    Il caso diCVE-2025-39247 dimostra quanto sia rischioso sottovalutare i sistemi di sicurezza fisica. Non sono “black box” isolate, ma applicazioni IT esposte che meritano lo stesso livello di protezione dei sistemi core. Un exploit come questo può trasformare un sistema nato per proteggere in una porta d’ingresso per attacchi molto più gravi.

    La priorità è quindi chiara:aggiornare subito, e contestualmente rafforzare i controlli di rete e monitoraggio. Solo così si riduce al minimo la finestra di esposizione e si garantisce che un sistema progettato per difendere non diventi la causa della compromissione.

    Antonio Piazzolla
    Responsabile IT Infrastructure & Security con oltre 20 anni di esperienza in ambienti enterprise complessi. In Casillo Group si occupa di continuità operativa, sicurezza e innovazione. Certificato Microsoft, VMware, Cisco e ITIL.

    Lista degli articoli

    Articoli in evidenza

    Terrore nel volo di Ursula von der Leyen? Facciamo chiarezza!
    Di Giovanni Pollola - 02/09/2025

    Il 31 agosto 2025 il volo AAB53G, operato con un Dassault Falcon 900LX immatricolato OO-GPE e con a bordo la presidente della Commissione Europea Ursula von der Leyen, è decollato da Varsavia ed è a...

    Zscaler Violazione Dati: Lezione Apprese sull’Evoluzione delle Minacce SaaS
    Di Ada Spinelli - 02/09/2025

    La recente conferma da parte di Zscaler riguardo a una violazione dati derivante da un attacco alla supply chain fornisce un caso studio sull’evoluzione delle minacce contro ecosistemi SaaS compless...

    Proofpoint: Allarme CISO italiani, l’84% teme un cyberattacco entro un anno, tra AI e burnout
    Di Redazione RHC - 02/09/2025

    Proofpoint pubblica il report “Voice of the CISO 2025”: cresce il rischio legato all’AI e rimane il problema umano, mentre i CISO sono a rischio burnout. L’84% dei CISO italiani prevede un att...

    QNAP rilascia patch di sicurezza per vulnerabilità critiche nei sistemi VioStor NVR
    Di Redazione RHC - 01/09/2025

    La società QNAP Systems ha provveduto al rilascio di aggiornamenti di sicurezza al fine di eliminare varie vulnerabilità presenti nel firmware QVR dei sistemi VioStor Network Video Recorder (NVR). I...

    Ma quale attacco Hacker! L’aereo di Ursula Von Der Leyen vittima di Electronic War (EW)
    Di Redazione RHC - 01/09/2025

    Un episodio inquietante di guerra elettronica (Electronic War, EW) ha coinvolto direttamente la presidente della Commissione europea, Ursula von der Leyen. Durante l’avvicinamento all’aeroporto di...