Due falle critiche permettono il controllo remoto non autenticato delle videocamere Dahua. Consigli urgenti agli utenti.
Bitdefender ha pubblicato il 30 luglio 2025 una ricerca approfondita che evidenzia due vulnerabilità critiche nella videocamera Dahua Hero C1 (DH-H4C) e in altri modelli del produttore cinese, ampiamente utilizzati per la videosorveglianza in ambienti sensibili come negozi, casinò, magazzini e abitazioni.
Accesso root senza credenziali: cosa è stato scoperto
Le vulnerabilità rilevate permettono a un attaccante non autenticato di prendere il controllo totale del dispositivo da remoto, sfruttando debolezze nel protocollo ONVIF e nei gestori di caricamento dei file. In scenari reali, un cybercriminale potrebbe eseguire comandi arbitrari e compromettere la videocamera a livello di sistema operativo, con accesso root e senza alcuna interazione da parte dell’utente.
Bitdefender ha spiegato che le falle interessano anche numerosi altri modelli, fra cui le serie IPC-1XXX, IPC-2XXX, IPC-WX, IPC-ECXX, SD3A, SD2A, SD3D, SDT2A e SD2C, se dotati di firmware antecedente al 16 aprile 2025.
Perché il rischio è serio
Le due falle possono essere sfruttate all’interno della rete locale, ma rappresentano un pericolo ancora maggiore quando il dispositivo è esposto su Internet tramite port forwarding o UPnP. In queste configurazioni, l’attacco può avvenire da remoto, senza bisogno di credenziali né conferme, permettendo l’esecuzione persistente di codice maligno attraverso daemon personalizzati.
Un dettaglio particolarmente preoccupante riguarda la possibilità di aggirare i controlli di integrità del firmware: l’attaccante può caricare payload non firmati o installare backdoor difficili da rimuovere, compromettendo in modo duraturo la sicurezza dell’intero impianto.
Le raccomandazioni di Bitdefender
Bitdefender invita gli utenti dei dispositivi Dahua coinvolti a prendere azioni immediate:
- Disabilitare UPnP e rimuovere ogni regola di port forwarding relativa alla videocamera.
- Isolare il dispositivo su una rete separata o VLAN dedicata per ridurre il rischio di movimenti laterali in caso di compromissione.
- Aggiornare il firmware con la versione rilasciata dopo il 16 aprile 2025, che risolve le vulnerabilità identificate.
- Evitare l’esposizione pubblica dell’interfaccia web delle videocamere.
Un segnale per tutto il settore della videosorveglianza
La vicenda Dahua è l’ennesima conferma della necessità di sicurezza-by-design nel settore della sorveglianza connessa. L’integrazione dei dispositivi IoT in ambienti aziendali o domestici espone nuove superfici d’attacco, spesso sottovalutate. Vulnerabilità simili possono essere sfruttate per attacchi mirati, spionaggio industriale o violazioni della privacy.
Per Bitdefender, l’obiettivo resta duplice: informare gli utenti e stimolare i vendor ad adottare processi più rigorosi nella gestione della sicurezza dei loro dispositivi.
