La herramienta de código abierto HikvisionExploiter automatiza ataques a cámaras IP Hikvision vulnerables con firmware desactualizado, explotando especialmente la falla CVE-2021-36260 que permite ejecución remota de comandos sin autenticación. El exploit afecta múltiples modelos populares con versiones anteriores a V5.5.0, comprometiendo la confidencialidad y disponibilidad al permitir el robo de credenciales, imágenes en vivo y la ejecución remota de código malicioso. La detección incluye pruebas automatizadas del endpoint /onvif-http/snapshot sin necesidad de credenciales.
CVE y severidad
| CVE ID | Productos afectados | CVSS 3.1 | Severidad | Descripción | Requisitos para explotación |
|---|---|---|---|---|---|
| CVE-2021-36260 | Más de 100 modelos Hikvision DS-2CD y DS-2DF con firmware inferior a V5.5.0 build 210702 | 9.8 | Crítica | Inyección de comandos remotos mediante insuficiente validación en endpoints del servidor web, permitiendo ejecución arbitraria con privilegios altos. | Acceso a la interfaz web expuesta sin necesidad de autenticación. |
Productos afectados
| Fabricante | Producto | Versiones afectadas |
|---|---|---|
| Hikvision | Cámaras IP DS-2CD y DS-2DF (más de 100 modelos) | Firmware inferior a V5.5.0 (build 210702) |
Solución
Actualizar el firmware a versión 5.7.0 o superior.
Recomendaciones
Priorizar la actualización inmediata del firmware afectado y segmentar la red para limitar acceso externo a cámaras IP. Deshabilitar puertos y servicios no utilizados, y realizar escaneos regulares con herramientas especializadas para detectar exposiciones no autorizadas.