Más de 100 cámaras CCTV Dahua expuestas al riesgo de adquisición debido a fallas críticas, la compañía insta a los clientes a instalar nuevas actualizaciones de firmware inmediatamente
- Dahua CCTV Fows identificados por Bitdefender afecta a más de 100 modelos populares de cámara de seguridad
- Las vulnerabilidades permiten la ejecución del código remoto sin autenticación a través de conexiones locales o de Internet
- La compañía insta a las actualizaciones de firmware y al aislamiento de la red para evitar la explotación
Investigadores de Defensor de bits han anunciado dos vulnerabilidades críticas que afectan a una gran cantidad de cámaras inteligentes Dahua.
Los fallas, que fueron parcheados en la actualización de firmware más reciente, podrían permitir a los atacantes no autenticados tomar el control total de los dispositivos afectados.
Dahua ha confirmado que un total de 126 modelos se vieron afectados, incluidos múltiples dispositivos de la serie IPC, SD y DH, no solo el modelo Hero C1 informado por primera vez.
Parche ahora
La primera de las vulnerabilidades, CVE-2025-31700, es una falla de desbordamiento de búfer en el firmware de cámara Dahua que se puede activar cuando el dispositivo procesa paquetes de red especialmente diseñados. Si se explota, podría hacer que la cámara se bloquee o, en algunos casos, permita que un atacante remoto ejecute su propio código en el dispositivo.
El segundo, CVE-2025-31701, es otro problema de desbordamiento del búfer que también es explotable a través de paquetes de maliciosamente elaborados enviados a través de la red. También se puede usar para bloquear la cámara o potencialmente obtener un control remoto completo dependiendo de las defensas del objetivo.
Ambos pueden ser explotados para ejecutar código arbitrario con privilegios raíz.
Bitdefender informó en privado los problemas a Dahua el 28 de marzo de 2025. El fabricante de equipos de videovigilancia chinos reconoció el informe al día siguiente y validó los hallazgos antes del 1 de abril.
Solicitó algo de tiempo para preparar una solución para los problemas, y los parches finalmente se implementaron el mes pasado, seguido de la divulgación pública acordada.
Las dos vulnerabilidades pueden ser especialmente peligrosas para los dispositivos accesibles desde Internet a través del reenvío de puertos o UPNP, ya que no se requiere autenticación para una posible explotación.
Bitdefender advierte que los ataques exitosos podrían evitar las verificaciones de integridad de firmware y implementar un código malicioso persistente, lo que dificulta la limpieza.
Dahua, el segundo fabricante de CCTV más grande del mundo detrás de HikVision, ha enfrentado un escrutinio en varios países sobre problemas de ciberseguridad y preocupaciones de privacidad de datos, particularmente relacionadas con posibles vulnerabilidades en sus dispositivos conectados a la red.
Mantiene un equipo de respuesta a incidentes de seguridad de productos (PSIRT) para coordinar con los investigadores sobre defectos reportados, como en el caso de estas revelaciones de vulnerabilidad.
Insta a todos los clientes que aún no lo han hecho a actualizar su firmware de cámara como una cuestión de urgencia.
Para cualquier persona que no pueda hacerlo de inmediato, aconseja desconectar dispositivos vulnerables del acceso directo a Internet, deshabilitar UPNP y aislar cámaras en redes separadas para reducir el riesgo.
Se incluye una lista detallada de modelos afectados en Asesor en línea de Dahuajunto con enlaces al firmware parchado.
Tanto Dahua como BitDefender STRESS los dispositivos conectados a Internet deben considerarse objetivos principales.
