Videosorveglianza Sotto Attacco: Bug in Hikvision Consente Accesso Admin Senza Login

Un team di esperti di sicurezza ha scoperto una vulnerabilità critica che interessa il software HikCentral Professional, la piattaforma di gestione per i sistemi di videosorveglianza di Hikvision. Questa falla, classificata come un problema di "Improper Access Control", consente a un aggressore di ottenere l'accesso con privilegi di amministratore senza la necessità di inserire credenziali di login. La vulnerabilità risiede in alcuni endpoint API che non verificano correttamente i permessi dell'utente, permettendo a chiunque possa raggiungere il servizio di inviare richieste e scalare i privilegi fino a ottenere il controllo totale del sistema.

L'impatto di questo bug è particolarmente grave. Una volta ottenuto l'accesso, un malintenzionato può non solo visualizzare i filmati delle telecamere, ma anche modificare le configurazioni del sistema, disabilitare la registrazione, cancellare o esportare i video. La scoperta ha sollevato forti preoccupazioni nel settore, considerando che i sistemi di videosorveglianza Hikvision sono ampiamente diffusi in infrastrutture critiche, aziende, negozi e abitazioni private. Le versioni colpite dal problema sono le 2.3.1, 2.6.2 e 3.0.0 di HikCentral Professional. Hikvision, una volta informata, ha rapidamente rilasciato gli aggiornamenti di sicurezza per risolvere il problema.

Per proteggersi da questa minaccia, si consiglia vivamente a tutti gli utenti che utilizzano il software HikCentral Professional di aggiornare immediatamente i propri sistemi alle versioni più recenti disponibili. È inoltre una buona pratica limitare l'esposizione della rete, assicurandosi che i sistemi di videosorveglianza non siano accessibili da internet se non strettamente necessario, e utilizzare un firewall per bloccare il traffico indesiderato.