Bitdefender ha rilasciato una ricerca esaustiva su due vulnerabilità critiche che interessano la videocamera Dahua Hero C1 (DH-H4C) e diverse altre line di telecamere di sicurezza di Dahua.
Sfruttando queste vulnerabilità, un criminale informatico non autenticato può accedere alla videocamera per eseguire comandi arbitrary da remote e prendere il pieno controllo del dispositivo. Queste vulnerabilità sono state risolte e l’aggiornamento è stato distribuito. Bitdefender raccomanda agli utenti della telecamera Dahua Hero C1 (DH-H4c) e degli altri modelli elencati nella ricerca di assicurarsi di aver installato l’ultimo aggiornamento.
Principali risultati della ricerca:
Sono state rilevate e risolte due vulnerabilità nella videocamera Dahua Hero C1 (DH-H4C), una telecamera ampiamente utilizzata per la videosorveglianza nei negozi, nei casinò, nei magazzini e negli ambienti residenziali.
Le vulnerabilità interessano il protocollo ONVIF del dispositivo e i gestori di caricamento dei file, consentendo ai criminali informatici di eseguire comandi arbitrari da remoto e compromettere completamente il dispositivo.
Anche altri modelli di dispositivi, identificati durante l’audit condotto dal vendor, sono interessati dalle vulnerabilità, tra cui: IPC-1XXX Series, IPC-2XXX Series, IPC-WX Series, IPC-ECXX Series, SD3A Series, SD2A Series, SD3D Series, SDT2A Series, SD2C Series con versioni del firmware precedente al 16/04/2025.
Entrambe le vulnerabilità non sono autenticate e possono essere sfruttate sulla rete locale. I dispositivi esposti a Internet tramite port forwarding o UPnP sono particolarmente a rischio. Se un criminale informatico riesce a sfruttare la vulnerabilità può accedere alla videocamera a livello di root senza alcuna interazione da parte dell’utente.
Poiché il percorso di sfruttamento aggira i controlli di integrità del firmware, i malintenzionati possono caricare payload non firmati o persistere tramite daemon (un programma che viene eseguito senza l’interazione diretta dell’utente) personalizzati, rendendo difficile eseguire la bonifica.
Suggerimenti di Bitdefender per gli utenti:
Evitare di esporre a Internet l’interfaccia web delle telecamere Dahua dei modelli vulnerabili. Bitdefender suggerisce di disabilitare il protocollo UPnP e rimuovere eventuali regole di port forwarding.
Isolare la videocamera su una VLAN separata o una rete IoT dedicate per limitare lo spostamento laterale.
Controllare gli aggiornamenti del vendor e applicare le patch non appena disponibili. Ad oggi, le versioni del firmware successive a quella del 16/04/2025 risolvono i problemi rilevati.
