Ho visto troppi progetti fallire non perché la telecamera si è rotta, ma perché qualcuno l'ha hackerata. La sicurezza del firmware non è più opzionale. È un fattore decisivo.
I rigorosi audit di cybersecurity del firmware includono l'analisi statica del codice (SAST), test di penetrazione di terze parti, scansione delle vulnerabilità CVE e controlli delle credenziali hardcoded. La maggior parte delle telecamere PTZ di fascia medio-bassa dalla Cina viene spedita senza questi audit. Solo pochi produttori che si rivolgono ai mercati delle infrastrutture critiche conducono test di sicurezza completi e verificabili prima del rilascio.
Vulnerabilità negli audit di cybersecurity del firmware delle telecamere PTZ
Molti integratori come David Miller mi pongono questa domanda prima di effettuare un singolo ordine. Hanno bisogno di prove, non di promesse. In questo articolo, analizzo ogni livello di sicurezza del firmware, dalla modifica forzata della password al patching delle CVE, in modo che tu sappia esattamente cosa pretendere dal tuo fornitore. Lascia che ti guidi.
Indice dei contenuti
Il firmware forza la modifica della password al primo accesso per prevenire gli hacker?
Una volta ho aiutato un cliente in Texas a riprendersi da una violazione. La causa principale? L'installatore ha lasciato la password predefinita admin:admin su 47 telecamere. Ognuna è stata compromessa entro una settimana.
Un firmware sicuro per telecamere PTZ deve forzare gli utenti a creare una nuova password complessa al primissimo accesso. Questo singolo passaggio blocca il vettore di attacco più comune – credenziali predefinite e deboli – che i rapporti dell'FBI e molteplici record CVE confermano essere il punto di ingresso principale per gli hacker di telecamere.
modifica forzata password telecamera PTZ primo accesso sicurezza
Perché le password predefinite sono un problema enorme
I numeri sono chiari. L'FBI ha emesso una Private Industry Notification (PIN) nel 2024 avvertendo che il gruppo di minaccia HiatusRAT stava scansionando Internet alla ricerca di telecamere con password predefinite note e CVE non patchate come CVE-2017-79211 e CVE-2021-362602. Questi non sono attacchi rari e mirati. Sono scansioni automatizzate su larga scala.
CVE-2025-35452 rende tutto questo ancora più reale. Le telecamere PTZOptics che eseguivano il firmware condiviso ValueHD utilizzavano la stessa password di amministratore predefinita su tutte le unità. Quella singola falla ha dato agli aggressori l'accesso completo da remoto all'amministratore su dozzine di modelli di diversi marchi. La causa principale era semplice: nessuna modifica forzata della password al primo avvio.
Come dovrebbe essere una corretta policy di primo accesso
Mi assicuro che il nostro firmware Loyalty-Secu segua un rigoroso flusso di primo accesso. Ecco cosa succede:
| Passo | Azione | Scopo |
|---|---|---|
| 1 | Blocca tutte le funzionalità finché la password non viene modificata | Impedisci qualsiasi utilizzo con credenziali predefinite |
| 2 | Richiedi un minimo di 8 caratteri con maiuscole, minuscole, numeri e caratteri speciali | Interrompi password deboli come 123456 |
| 3 | Rifiuta password corrispondenti al numero di serie del dispositivo o “admin” | Blocca pattern prevedibili |
| 4 | Blocca l'IP dopo 5 tentativi di accesso falliti | Impedisci attacchi di forza bruta |
Oltre il primo accesso
Un cambio password forzato è solo il primo ostacolo. Configuro anche il nostro firmware per supportare promemoria periodici di scadenza password e controllo degli accessi basato sui ruoli (RBAC). Ciò significa che l'account dell'installatore e l'account dell'amministratore hanno diversi livelli di autorizzazione. Se le credenziali di un tecnico sul campo vengono compromesse, l'attaccante non potrà comunque modificare le impostazioni di rete o aggiornare il firmware.
Alcuni clienti mi chiedono se ciò rallenti il deployment. Aggiunge circa 30 secondi per telecamera. Sono 30 secondi contro un potenziale costo di recupero di una violazione di 50.000 €. Penso che la matematica sia semplice.
Posso vedere un rapporto di “penetration test” per l'interfaccia web della telecamera e la porta 4G?
Ricevo spesso questa domanda dagli integratori di progetti governativi. Non vogliono solo una scheda tecnica. Vogliono un report con un timbro. E onestamente, dovrebbero.
Un report di penetration test dovrebbe coprire l'interfaccia di gestione web della telecamera (HTTP/HTTPS), le porte di streaming RTSP/ONVIF, l'interfaccia modem 4G e qualsiasi endpoint API. Deve essere eseguito da una società di sicurezza indipendente di terze parti, mirando al modello specifico e alla versione del firmware acquistati.
report di penetration test interfaccia web telecamera PTZ porta 4G
Cosa copre un vero Pen Test
Ho imparato che molti acquirenti confondono una scansione delle vulnerabilità con un penetration test. Non sono la stessa cosa. Una scansione delle vulnerabilità è automatizzata. Un penetration test prevede un essere umano che cerca di infiltrarsi, utilizzando gli stessi strumenti e metodi che un vero attaccante userebbe.
Per le nostre telecamere PTZ, organizzo penetration test che coprono tre aree:
Audit Porte e Servizi
Il tester esegue la scansione di ogni porta aperta sulla telecamera. Per una telecamera configurata correttamente, solo le porte 80 (HTTP), 443 (HTTPS) e 554 (RTSP) dovrebbero essere aperte. Se il tester trova Telnet sulla porta 23 o SSH sulla porta 22 in esecuzione per impostazione predefinita, questo è un fallimento immediato. Ho visto telecamere concorrenti spedite con Telnet spalancato. È come lasciare la porta d'ingresso sbloccata e metterci sopra un cartello.
Fuzzing del protocollo
È qui che il tester invia pacchetti di dati corrotti, sovradimensionati o malformati alle interfacce ONVIF, RTSP e SDK della telecamera. L'obiettivo è bloccare il dispositivo o costringerlo a comportarsi in modo inaspettato. CVE-2024-8957 è un esempio perfetto. Gli aggressori hanno sfruttato un filtro di input debole nel ntp_client binario per ottenere l'esecuzione remota di codice. Un test di fuzzing adeguato avrebbe rilevato questo prima che il firmware fosse spedito.
Test dell'interfaccia web contro OWASP Top 10
La pagina di gestione web della telecamera viene testata per le OWASP Top 103 vulnerabilità. Ciò include scripting inter-sito (XSS), autenticazione interrotta e errate configurazioni di sicurezza. Richiedo che il test verifichi specificamente se l'interfaccia web trasmette le password in chiaro. Alcune telecamere IP cinesi sono state trovate inviare admin:admin12345 in chiaro tramite HTTP, visibile a chiunque stia monitorando la rete.
Cosa chiedere al fornitore
Se il tuo fornitore non è in grado di fornire un rapporto di penetration test, questo ti dice qualcosa di importante. Ecco cosa consiglio di richiedere:
| Documento | Cosa Prova | Bandiera rossa se mancante |
|---|---|---|
| Rapporto di penetration test di terze parti (per modello specifico e versione firmware) | Verifica indipendente della sicurezza | Il fornitore si basa solo su test interni |
| Risultati della scansione CVE contro il database NVD più recente | Nessuna vulnerabilità di alta gravità nota | Firmware obsoleto con CVE non patchati |
| Dettagli del certificato di firma del firmware | Gli aggiornamenti non possono essere manomessi | L'attaccante può iniettare firmware dannoso |
Fornisco questi documenti ai miei clienti. Se un fornitore esita o dice “è confidenziale”, insisti di più. La sicurezza del tuo progetto dipende da questo.
Come gestisce il produttore le CVE scoperte di recente sul campo?
Controllo i database CVE ogni settimana. Non perché mi diverta a leggere rapporti sulle vulnerabilità, ma perché una singola falla non corretta può trasformare una telecamera da $200 in una responsabilità da $200.000 per il mio cliente.
I produttori responsabili mantengono un Team di risposta agli incidenti di sicurezza del prodotto (PSIRT)4 che monitora i database CVE globali, emette avvisi di sicurezza e fornisce patch firmware OTA firmate entro 90 giorni dalla divulgazione di una vulnerabilità critica. Senza questo processo, le telecamere sul campo rimangono permanentemente esposte.
Patching vulnerabilità CVE aggiornamento firmware OTA telecamera PTZ
Il problema con il firmware “Imposta e dimentica”
Molte telecamere distribuite sul campo non ricevono mai un singolo aggiornamento dopo l'installazione. Il rapporto di Bleeping Computer su CVE-2024-8956 e CVE-2024-8957 ha dimostrato che le telecamere PTZ che utilizzano il SoC Hisilicon Hi3516A V600 con firmware VHD precedente alla versione 6.3.40 erano completamente sfruttabili. Gli attaccanti potevano prendere il controllo della telecamera, accedere alla rete locale e persino reclutare la telecamera in una botnet.
Il problema non è solo che esistono vulnerabilità. Ogni software ha bug. Il vero problema è se il produttore dispone di un sistema per correggerli rapidamente e distribuire gli aggiornamenti in modo affidabile.
Come gestisco il patching CVE in Loyalty-Secu
Ho costruito il nostro processo di patching attorno a quattro principi:
Monitoraggio e Triage
Il nostro team di sicurezza interno monitora il National Vulnerability Database (NVD)8, l'elenco CVE di MITRE e i feed di minacce specifici per l'IoT quotidianamente. Quando appare un nuovo CVE che interessa qualsiasi componente del nostro firmware, comprese le librerie di terze parti come OpenSSL o lighttpd, lo classifichiamo per gravità utilizzando il punteggio CVSS.
Sviluppo e test delle patch
Per le vulnerabilità critiche (CVSS ≥ 7.0), richiedo che una patch venga sviluppata e testata entro 30 giorni. La patch viene sottoposta a test di regressione per assicurarsi che non comprometta le funzionalità esistenti come la scoperta ONVIF o lo streaming RTSP. Ho visto casi in cui una patch di sicurezza ha compromesso l'interfaccia web della telecamera. Ciò non è accettabile.
Consegna OTA firmata
Ogni pacchetto di aggiornamento firmware è firmato digitalmente utilizzando la nostra chiave privata. Prima che la fotocamera installi qualsiasi aggiornamento, verifica la firma. Se la firma non corrisponde, l'aggiornamento viene rifiutato. Ciò impedisce agli aggressori di inviare un file firmware modificato alla fotocamera. Supporto anche la protezione dal rollback: la fotocamera non accetterà una versione del firmware precedente a quella attualmente installata.
Notifica al cliente
Invio un'email di avviso di sicurezza a tutti gli integratori e distributori registrati quando viene rilasciata una patch. L'avviso include l'ID CVE, i modelli interessati, le versioni del firmware, il livello di rischio e il link per il download. La trasparenza crea fiducia. Nascondere le vulnerabilità la distrugge.
La funzionalità UPnP è disabilitata per impostazione predefinita per prevenire accessi non autorizzati alla rete?
Ho disabilitato UPnP sul nostro firmware per impostazione predefinita due anni fa. È stata una delle decisioni di sicurezza più facili che abbia mai preso, e vorrei che più produttori facessero lo stesso.
UPnP (Universal Plug and Play) dovrebbe essere disabilitato per impostazione predefinita su tutte le telecamere PTZ. Quando abilitato, UPnP apre automaticamente le porte sul router di rete senza che l'utente ne sia a conoscenza, creando percorsi diretti per gli aggressori per accedere alla telecamera da Internet. Disabilitarlo per impostazione predefinita riduce significativamente la superficie di attacco della telecamera.
UPnP disabilitato per impostazione predefinita sicurezza di rete telecamera PTZ
Cosa fa effettivamente UPnP — e perché è pericoloso
UPnP è stato progettato per semplificare il networking. Un dispositivo si connette al router e dice: “Ehi, apri la porta 8080 per me in modo che le persone possano raggiungermi da Internet”. Il router lo fa automaticamente. Senza fare domande. Nessuna autenticazione richiesta.
Per un altoparlante smart di consumo, ciò potrebbe essere accettabile. Per una telecamera di sicurezza che protegge un cantiere, un'autostrada o una sottostazione elettrica, è un disastro. Ecco perché:
Il percorso di attacco creato da UPnP
Quando UPnP apre una porta, la telecamera diventa direttamente raggiungibile da Internet pubblica. Un aggressore può quindi:
- Scansionare la porta aperta utilizzando strumenti come Shodan5 o Censys.
- Identificare il modello della telecamera e la versione del firmware dalle intestazioni HTTP.
- Cercare i CVE noti per quel modello.
- Sfruttare la vulnerabilità — o semplicemente provare le password predefinite.
È esattamente così che i botnet come Mirai hanno reclutato centinaia di migliaia di telecamere IP. Molte di quelle telecamere avevano UPnP abilitato per impostazione predefinita.
La nostra filosofia di configurazione predefinita
Seguo una regola semplice: ogni porta e servizio che non è strettamente necessario dovrebbe essere chiuso o disabilitato per impostazione predefinita. Ecco come configuro le nostre telecamere PTZ Loyalty-Secu appena tolte dalla scatola:
| Funzionalità / Servizio | Stato predefinito | Ragione |
|---|---|---|
| UPnP | Disabilitato | Impedisce il port forwarding automatico senza il consenso dell'utente |
| Telnet | Disabilitato | Shell remota non crittografata — rischio grave |
| FTP | Disabilitato | Trasferimento file non crittografato — non necessario per il normale funzionamento |
| SSH | Disabilitato | Può essere abilitato dall'amministratore se necessario, ma disattivato per impostazione predefinita |
| HTTPS | Abilitato | Interfaccia di gestione web crittografata |
| Autenticazione RTSP | Abilitato | Impedisce l'accesso non autorizzato allo stream video |
| Accesso al cloud P2P | Opzionale, disattivato per impostazione predefinita | Riduce i vettori di attacco basati sul cloud |
Quando un cliente necessita di accesso remoto
Alcuni miei clienti hanno bisogno di accedere alle telecamere da remoto. Invece di UPnP, consiglio di utilizzare un tunnel VPN7 o una connessione P2P sicura con crittografia end-to-end. Questo mantiene la telecamera invisibile alle scansioni di Internet pubblico. La telecamera comunica solo con il server VPN o con l'app autorizzata, non con l'intero Internet.
Consiglio inoltre ai clienti di segmentare la loro rete di telecamere dalla loro rete aziendale principale utilizzando VLAN6. Anche se una telecamera viene compromessa, l'attaccante non può raggiungere i computer dell'ufficio, il sistema di fatturazione o il database dei clienti. La segmentazione della rete è una delle misure di sicurezza più economiche ed efficaci che conosco.
Per le telecamere PTZ solari connesse 4G distribuite in aree remote, questo è ancora più importante. Queste telecamere si trovano spesso su reti cellulari con indirizzi IP pubblici. Se UPnP fosse abilitato, sarebbero prede facili. Mantenendo UPnP disattivato e richiedendo l'accesso basato su VPN, mi assicuro che le telecamere remote dei miei clienti rimangano invisibili agli attori minacciosi che scansionano Internet 24 ore su 24, 7 giorni su 7.
Conclusione
La sicurezza del firmware non è una funzionalità che si può saltare. Dalle modifiche forzate delle password alla disabilitazione di UPnP, ogni livello conta. Integro queste protezioni in ogni telecamera PTZ Loyalty-Secu perché la reputazione dei miei clienti e la sicurezza dei loro clienti dipendono da questo. Chiedi prove al tuo fornitore, non promesse.
1. Difetto critico di bypass dell'autenticazione nelle telecamere Hikvision; ampiamente sfruttato sul campo. ︎↩︎ 2. Vulnerabilità di iniezione di comandi che interessa le telecamere Hikvision; utilizzata nel reclutamento di botnet. ︎↩︎ 3. L'OWASP Top 10 è l'elenco standard del settore dei rischi di sicurezza delle applicazioni web. ︎↩︎ 4. Una PSIRT è un team dedicato che gestisce le divulgazioni di vulnerabilità e coordina le patch. ︎↩︎ 5. Shodan è un motore di ricerca per dispositivi connessi a Internet, spesso utilizzato dagli aggressori per trovare telecamere esposte. ︎↩︎ 6. Le VLAN segmentano il traffico di rete, limitando il raggio d'azione in caso di compromissione di una telecamera. ︎↩︎ 7. Un tunnel VPN crittografa e autentica l'accesso remoto, mantenendo le telecamere fuori da Internet pubblico. ︎↩︎ 8. Il NVD è il repository del governo degli Stati Uniti di dati di gestione delle vulnerabilità basati su standard. ︎↩︎