Videosorveglianza sotto attacco: Un bug in Hikvision consente accesso admin senza login

Antonio Piazzolla : 2 Settembre 2025 17:38

Alla fine di agosto 2025 è stata resa pubblica una vulnerabilità ad alto impatto che riguarda HikCentral Professional, la piattaforma di Hikvision usata per gestire in modo centralizzato videosorveglianza e controllo accessi. La falla, catalogata come CVE-2025-39247, ha un punteggio CVSS di 8.6 (High) e permette a un attaccante remoto di ottenere accesso amministrativo senza autenticazione. In altre parole: chiunque, via rete, può entrare nel cuore del sistema di gestione della sicurezza.

Perché è importante

Gli ambienti che adottano HikCentral spesso lo considerano parte della “sicurezza fisica”, ma in realtà è un software esposto come qualsiasi altro servizio IT. Questo lo rende un bersaglio interessante: se compromesso, può fornire accesso non solo alle telecamere, ma anche a dati sensibili, configurazioni e potenzialmente all’intera rete aziendale.

In uno scenario reale, un attaccante potrebbe:

• visualizzare e manipolare i flussi video;
• modificare impostazioni e utenti;
• sfruttare il server come punto di ingresso per movimenti laterali.

Dove sta il problema

La vulnerabilità è di tipoImproper Access Control (CWE-284). In pratica, alcuni endpoint web/API di HikCentral non gestiscono correttamente i controlli di accesso. Il risultato è che richieste inviate senza credenziali vengono comunque trattate come privilegiate, permettendo l’escalation diretta a livello amministrativo.

Questo rende l’attacco estremamente semplice: non serve conoscenza approfondita del sistema, non servono credenziali rubate, non è necessaria interazione da parte dell’utente. È sufficiente essere in grado di raggiungere la porta del servizio.

Versioni coinvolte e fix

Le versioni vulnerabili vanno dallaV2.3.1 alla V2.6.2, oltre allaV3.0.0. Hikvision ha già rilasciato aggiornamenti correttivi:

• V2.6.3
• V3.0.1

Chiunque utilizzi release precedenti dovrebbe aggiornare immediatamente.

Mitigazioni pratiche

Oltre all’aggiornamento, che resta la misura più efficace, ci sono alcune azioni di hardening consigliate:

• Segmentare la rete: isolare i server HikCentral in VLAN dedicate, accessibili solo da subnet fidate.
• Limitare l’accesso: filtrare via firewall gli indirizzi che possono connettersi al servizio.
• Implementare un WAF: utile per intercettare richieste anomale agli endpoint.
• Monitorare i log: attivare alert per tentativi di accesso sospetti o non autorizzati.
• Applicare il principio del minimo privilegio: ridurre al minimo i diritti degli account interni.

Checklist operativa rapida

Per facilitare il lavoro dei team IT e sicurezza, ecco i5 step essenziali per mitigare CVE-2025-39247:

1. Aggiornare subito aV2.6.3 o V3.0.1.
2. Controllare la rete: isolare i server HikCentral in segmenti dedicati.
3. Limitare gli accessi esterni tramite firewall e VPN.
4. Abilitare logging avanzato e monitoraggio per individuare attività anomale.
5. Verificare i privilegi degli account ed eliminare eventuali utenze superflue.

Conclusione

Il caso diCVE-2025-39247 dimostra quanto sia rischioso sottovalutare i sistemi di sicurezza fisica. Non sono “black box” isolate, ma applicazioni IT esposte che meritano lo stesso livello di protezione dei sistemi core. Un exploit come questo può trasformare un sistema nato per proteggere in una porta d’ingresso per attacchi molto più gravi.

La priorità è quindi chiara:aggiornare subito, e contestualmente rafforzare i controlli di rete e monitoraggio. Solo così si riduce al minimo la finestra di esposizione e si garantisce che un sistema progettato per difendere non diventi la causa della compromissione.

Antonio Piazzolla
Responsabile IT Infrastructure & Security con oltre 20 anni di esperienza in ambienti enterprise complessi. In Casillo Group si occupa di continuità operativa, sicurezza e innovazione. Certificato Microsoft, VMware, Cisco e ITIL.

Lista degli articoli