Já vi muitos projetos falharem não porque a câmera quebrou, mas porque alguém a invadiu. A segurança do firmware não é mais opcional. É um fator decisivo.
Auditorias rigorosas de cibersegurança de firmware incluem análise estática de código (SAST), testes de penetração de terceiros, varredura de vulnerabilidades CVE e verificações de credenciais codificadas. A maioria das câmeras PTZ de baixo a médio porte da China é enviada sem essas auditorias. Apenas alguns fabricantes que visam mercados de infraestrutura crítica realizam testes de segurança completos e verificáveis antes do lançamento.
Vulnerabilidades de auditoria de cibersegurança de firmware de câmera PTZ
Muitos integradores como David Miller me fazem essa pergunta antes de fazer um único pedido. Eles precisam de provas, não de promessas. Neste artigo, detalho cada camada de segurança de firmware — desde alterações forçadas de senha até patches de CVE — para que você saiba exatamente o que exigir do seu fornecedor. Deixe-me guiá-lo.
Índice
O Firmware Força uma Alteração de Senha no Primeiro Login para Prevenir Hacking?
Uma vez ajudei um cliente no Texas a se recuperar de uma violação. A causa raiz? O instalador deixou a senha padrão admin:admin em 47 câmeras. Todas foram comprometidas em uma semana.
Firmware seguro de câmera PTZ deve forçar os usuários a criar uma nova senha complexa no primeiro login. Essa única etapa bloqueia o vetor de ataque mais comum — credenciais padrão e fracas — que relatórios do FBI e vários registros CVE confirmam como o principal ponto de entrada para hacks de câmeras.
Segurança de primeira login com alteração forçada de senha de câmera PTZ
Por Que as Senhas Padrão São um Problema Enorme
Os números são claros. O FBI emitiu uma Notificação da Indústria Privada (PIN) em 2024 alertando que o grupo de ameaças HiatusRAT estava escaneando a internet em busca de câmeras com senhas padrão conhecidas e CVEs não corrigidos como CVE-2017-79211 e CVE-2021-362602. Estes não são ataques raros e direcionados. São varreduras automatizadas e em larga escala.
CVE-2025-35452 torna isso ainda mais real. Câmeras PTZOptics executando firmware ValueHD compartilhado usavam a mesma senha de administrador padrão em todas as unidades. Essa única falha deu aos atacantes acesso total de administrador remoto a dezenas de modelos em várias marcas. A causa raiz era simples: nenhuma alteração forçada de senha na primeira inicialização.
Como Deve Ser Uma Política Adequada de Primeiro Login
Eu garanto que nosso firmware Loyalty-Secu segue um fluxo rigoroso de primeiro login. Veja o que acontece:
| Etapa | Ação | Finalidade |
|---|---|---|
| 1 | Bloquear todos os recursos até que a senha seja alterada | Impedir qualquer uso com credenciais padrão |
| 2 | Exigir um mínimo de 8 caracteres com letras maiúsculas, minúsculas, números e caracteres especiais | Parar senhas fracas como 123456 |
| 3 | Rejeitar senhas que correspondam ao número de série do dispositivo ou “admin” | Bloquear padrões previsíveis |
| 4 | Bloquear o IP após 5 tentativas de login falhadas | Impedir ataques de força bruta |
Além do Primeiro Login
Uma alteração forçada de senha é apenas a primeira barreira. Eu também configuro nosso firmware para suportar lembretes periódicos de expiração de senha e controle de acesso baseado em função (RBAC). Isso significa que a conta do instalador e a conta do administrador têm níveis de permissão diferentes. Se as credenciais de um técnico de campo vazarem, o invasor ainda não poderá alterar as configurações de rede ou atualizar o firmware.
Alguns clientes me perguntam se isso retarda a implantação. Adiciona cerca de 30 segundos por câmera. São 30 segundos versus um custo potencial de recuperação de violação de R$ 50.000. Acho que a matemática é simples.
Posso Ver um Relatório de “Teste de Penetração” para a Interface Web da Câmera e a Porta 4G?
Recebo muito essa pergunta de integradores de projetos governamentais. Eles não querem apenas uma folha de dados. Eles querem um relatório com um carimbo. E, honestamente, eles deveriam.
Um relatório de teste de penetração deve cobrir a interface de gerenciamento web da câmera (HTTP/HTTPS), as portas de streaming RTSP/ONVIF, a interface do modem 4G e quaisquer endpoints de API. Deve ser realizado por uma empresa de segurança independente de terceiros, visando o modelo específico e a versão de firmware que está sendo adquirida.
relatório de teste de penetração interface web câmera PTZ porta 4G
O Que um Teste de Penetração Real Cobre
Aprendi que muitos compradores confundem uma varredura de vulnerabilidade com um teste de penetração. Eles não são a mesma coisa. Uma varredura de vulnerabilidade é automatizada. Um teste de penetração tem um humano tentando invadir, usando as mesmas ferramentas e métodos que um atacante real usaria.
Para nossas câmeras PTZ, organizo testes de penetração que cobrem três áreas:
Auditoria de Portas e Serviços
O testador verifica todas as portas abertas na câmera. Para uma câmera configurada corretamente, apenas as portas 80 (HTTP), 443 (HTTPS) e 554 (RTSP) devem estar abertas. Se o testador encontrar Telnet na porta 23 ou SSH na porta 22 em execução por padrão, isso é uma falha imediata. Já vi câmeras de concorrentes serem enviadas com Telnet totalmente aberto. Isso é como deixar a porta da frente destrancada e colocar uma placa nela.
Teste de Fuzzing de Protocolo
É aqui que o testador envia pacotes de dados quebrados, superdimensionados ou malformados para as interfaces ONVIF, RTSP e SDK da câmera. O objetivo é travar o dispositivo ou forçá-lo a se comportar de maneira inesperada. CVE-2024-8957 é um exemplo perfeito. Atacantes exploraram a filtragem fraca de entrada no ntp_client binário para obter execução remota de código. Um teste de fuzzing adequado teria detectado isso antes do envio do firmware.
Teste de Interface Web Contra OWASP Top 10
A página de gerenciamento web da câmera é testada quanto às OWASP Top 103 vulnerabilidades. Isso inclui cross-site scripting (XSS), autenticação quebrada e configurações de segurança incorretas. Exijo que o teste verifique especificamente se a interface web transmite senhas em texto plano. Algumas câmeras IP chinesas foram encontradas enviando admin:admin12345 em texto plano HTTP — visível para qualquer pessoa que esteja monitorando a rede.
O que perguntar ao seu fornecedor
Se o seu fornecedor não puder fornecer um relatório de teste de penetração, isso lhe diz algo importante. Aqui está o que recomendo que você solicite:
| Documento | O que Comprova | Bandeira vermelha se estiver faltando |
|---|---|---|
| Relatório de teste de penetração de terceiros (para modelo e versão de firmware específicos) | Verificação independente de segurança | Fornecedor confia apenas em testes internos |
| Resultados de varredura CVE contra o banco de dados NVD mais recente | Nenhuma vulnerabilidade de alta gravidade conhecida | Firmware desatualizado com CVEs sem correção |
| Detalhes do certificado de assinatura de firmware | As atualizações não podem ser adulteradas | O atacante pode injetar firmware malicioso |
Eu forneço estes documentos aos meus clientes. Se um fornecedor hesitar ou disser “é confidencial”, insista mais. A segurança do seu projeto depende disso.
Como o Fabricante Corrige Vulnerabilidades CVE Recém-Descobertas em Campo?
Eu acompanho bancos de dados de CVE semanalmente. Não porque eu goste de ler relatórios de vulnerabilidade, mas porque uma falha não corrigida pode transformar uma câmera de R$200 em um passivo de R$200.000 para o meu cliente.
Fabricantes responsáveis mantêm uma Equipe de Resposta a Incidentes de Segurança de Produto (PSIRT)4 que monitora bancos de dados globais de CVE, emite avisos de segurança e entrega patches de firmware OTA assinados em até 90 dias após a divulgação de uma vulnerabilidade crítica. Sem este processo, as câmeras em campo permanecem permanentemente expostas.
Correção de vulnerabilidade CVE atualização de firmware OTA câmera PTZ
O Problema com Firmware “Configurar e Esquecer”
Muitas câmeras implantadas em campo nunca recebem uma única atualização após a instalação. O relatório do Bleeping Computer sobre CVE-2024-8956 e CVE-2024-8957 mostrou que câmeras PTZ usando SoC Hisilicon Hi3516A V600 com firmware VHD anterior à versão 6.3.40 eram totalmente exploráveis. Atacantes poderiam assumir o controle da câmera, se espalhar para a rede local e até mesmo recrutar a câmera para uma botnet.
O problema não é apenas que as vulnerabilidades existem. Todo software tem bugs. O problema real é se o fabricante tem um sistema para corrigi-los rapidamente e enviar atualizações de forma confiável.
Como Eu Lido com Correção de CVE na Loyalty-Secu
Eu construí nosso processo de correção em torno de quatro princípios:
Monitoramento e Triagem
Nossa equipe de segurança interna monitora o National Vulnerability Database (NVD)8, a lista MITRE CVE e feeds de ameaças específicos de IoT diariamente. Quando um novo CVE aparece que afeta qualquer componente em nosso firmware — incluindo bibliotecas de terceiros como OpenSSL ou lighttpd — nós o classificamos por gravidade usando a pontuação CVSS.
Desenvolvimento e Teste de Patches
Para vulnerabilidades críticas (CVSS ≥ 7.0), exijo que um patch seja desenvolvido e testado em até 30 dias. O patch passa por testes de regressão para garantir que não quebre recursos existentes como descoberta ONVIF ou streaming RTSP. Já vi casos em que um patch de segurança quebrou a interface web da câmera. Isso não é aceitável.
Entrega OTA Assinada
Cada pacote de atualização de firmware é assinado digitalmente usando nossa chave privada. Antes que a câmera instale qualquer atualização, ela verifica a assinatura. Se a assinatura não corresponder, a atualização é rejeitada. Isso impede que invasores enviem um arquivo de firmware modificado para a câmera. Também suporto proteção contra rollback — a câmera não aceitará uma versão de firmware mais antiga do que a atualmente instalada.
Notificação ao Cliente
Envio um e-mail de aviso de segurança para todos os integradores e distribuidores registrados quando um patch é lançado. O aviso inclui o ID CVE, modelos afetados, versões de firmware, nível de risco e link de download. A transparência constrói confiança. Esconder vulnerabilidades a destrói.
O Recurso UPnP Está Desativado por Padrão para Prevenir Entrada Não Autorizada na Rede?
Desativei o UPnP em nosso firmware por padrão há dois anos. Foi uma das decisões de segurança mais fáceis que já tomei, e gostaria que mais fabricantes fizessem o mesmo.
O UPnP (Universal Plug and Play) deve ser desativado por padrão em todas as câmeras PTZ. Quando habilitado, o UPnP abre automaticamente portas no roteador de rede sem o conhecimento do usuário, criando caminhos diretos para invasores acessarem a câmera pela internet. Desativá-lo por padrão reduz significativamente a superfície de ataque da câmera.
UPnP desativado por padrão segurança de rede de câmeras PTZ
O que o UPnP realmente faz — e por que é perigoso
O UPnP foi projetado para facilitar a rede. Um dispositivo se conecta ao roteador e diz: “Ei, abra a porta 8080 para mim para que as pessoas possam me alcançar pela internet.” O roteador faz isso automaticamente. Sem perguntas. Nenhuma autenticação necessária.
Para um alto-falante inteligente de consumo, isso pode ser aceitável. Para uma câmera de segurança protegendo um canteiro de obras, uma rodovia ou uma subestação de energia, é um desastre. Veja por quê:
O Caminho de Ataque que o UPnP Cria
Quando o UPnP abre uma porta, a câmera se torna diretamente acessível pela internet pública. Um invasor pode então:
- Procurar a porta aberta usando ferramentas como Shodan5 ou Censys.
- Identificar o modelo da câmera e a versão do firmware a partir dos cabeçalhos HTTP.
- Pesquisar CVEs conhecidos para esse modelo.
- Explorar a vulnerabilidade — ou simplesmente tentar senhas padrão.
É exatamente assim que botnets como Mirai recrutaram centenas de milhares de câmeras IP. Muitas dessas câmeras tinham UPnP habilitado por padrão.
Nossa Filosofia de Configuração Padrão
Eu sigo uma regra simples: toda porta e serviço que não seja estritamente necessário deve ser fechado ou desabilitado por padrão. Veja como configuro nossas câmeras Loyalty-Secu PTZ assim que saem da caixa:
| Recurso / Serviço | Estado Padrão | Razão |
|---|---|---|
| UPnP | Desabilitado | Impede o encaminhamento automático de portas sem o consentimento do usuário |
| Telnet | Desabilitado | Shell remoto não criptografado — risco grave |
| FTP | Desabilitado | Transferência de arquivos não criptografada — não necessária para operação normal |
| SSH | Desabilitado | Pode ser habilitado pelo administrador, se necessário, mas desativado por padrão |
| HTTPS | Habilitado | Interface de gerenciamento web criptografada |
| Autenticação RTSP | Habilitado | Impede o acesso não autorizado ao fluxo de vídeo |
| Acesso à Nuvem P2P | Opcional, desativado por padrão | Reduz vetores de ataque baseados em nuvem |
Quando um cliente precisa de acesso remoto
Alguns dos meus clientes realmente precisam acessar câmeras remotamente. Em vez de UPnP, recomendo usar um túnel VPN7 ou uma conexão P2P segura com criptografia de ponta a ponta. Isso mantém a câmera invisível para varreduras da internet pública. A câmera só se comunica com o servidor VPN ou com o aplicativo autorizado — não com toda a internet.
Também aconselho os clientes a segmentar sua rede de câmeras de sua rede comercial principal usando VLANs6. Mesmo que uma câmera seja comprometida, o invasor não conseguirá acessar os computadores do escritório, o sistema de faturamento ou o banco de dados de clientes. A segmentação de rede é uma das medidas de segurança mais baratas e eficazes que conheço.
Para câmeras PTZ solares conectadas a 4G implantadas em áreas remotas, isso é ainda mais importante. Essas câmeras geralmente ficam em redes celulares com endereços IP públicos. Se o UPnP estivesse ativado, elas seriam presas fáceis. Ao manter o UPnP desativado e exigir acesso baseado em VPN, garanto que as câmeras remotas dos meus clientes permaneçam invisíveis para atores de ameaças que escaneiam a internet 24 horas por dia, 7 dias por semana.
Conclusão
A segurança do firmware não é um recurso que você pode pular. Desde alterações forçadas de senha até o UPnP desativado, cada camada importa. Eu incorporo essas proteções em todas as câmeras PTZ Loyalty-Secu porque a reputação dos meus clientes — e a segurança de seus clientes — dependem disso. Peça provas ao seu fornecedor, não promessas.
1. Falha crítica de bypass de autenticação em câmeras Hikvision; amplamente explorada na natureza. ︎↩︎ 2. Vulnerabilidade de injeção de comando afetando câmeras Hikvision; usada no recrutamento de botnets. ︎↩︎ 3. O OWASP Top 10 é a lista padrão da indústria de riscos de segurança de aplicativos web. ︎↩︎ 4. Um PSIRT é uma equipe dedicada que gerencia divulgações de vulnerabilidades e coordena patches. ︎↩︎ 5. Shodan é um mecanismo de busca para dispositivos conectados à internet, frequentemente usado por invasores para encontrar câmeras expostas. ︎↩︎ 6. VLANs segmentam o tráfego de rede, limitando o raio de explosão se uma câmera for comprometida. ︎↩︎ 7. Um túnel VPN criptografa e autentica o acesso remoto, mantendo as câmeras fora da internet pública. ︎↩︎ 8. O NVD é o repositório do governo dos EUA de dados de gerenciamento de vulnerabilidades baseados em padrões. ︎↩︎