Más de 100 cámaras de vigilancia Dahua en riesgo de ser hackeadas por fallos críticos; la empresa recomienda a los usuarios actualizar el firmware de inmediato.

Investigadores de seguridad han detectado dos vulnerabilidades críticas en una gran cantidad de cámaras inteligentes de Dahua, que podrían permitir que atacantes remotos sin autenticación tomen el control total de los dispositivos afectados. Estas fallas fueron identificadas por un equipo de Bitdefender y se informaron a la empresa el 28 de marzo de 2025. Dahua, reconocida como el segundo mayor fabricante de CCTV a nivel mundial, validó los problemas al día siguiente y dio seguimiento al asunto hasta la preparación de actualizaciones de firmware, las cuales se implementaron el mes pasado.

En total, 126 modelos de cámaras se vieron comprometidos, incluyendo varias de las series IPC, SD y DH, más allá del modelo Hero C1 que inicialmente se había reportado. La primera vulnerabilidad identificada, CVE-2025-31700, se relaciona con un desbordamiento de memoria que se activa al procesar paquetes de red especialmente diseñados. La explotación de esta falla podría provocar que la cámara se bloquee o, en ciertos casos, que un atacante remoto ejecute su propio código. La segunda vulnerabilidad, CVE-2025-31701, es similar y también se puede aprovechar a través de paquetes maliciosos enviados por la red, con el mismo potencial de causar bloqueos o permitir el control remoto total, dependiendo de las defensas del dispositivo afectado.

Ambas vulnerabilidades permiten ejecutar código arbitrario con privilegios de administrador, lo que las hace especialmente peligrosas para dispositivos que son accesibles desde internet mediante el reenvío de puertos o UPnP, ya que no se requiere ninguna autenticación para su posible explotación. Bitdefender advirtió que un ataque exitoso podría eludir las comprobaciones de integridad del firmware e instalar código malicioso persistente, complicando la eliminación del mismo.

Dahua mantiene un equipo de respuesta ante incidentes de seguridad en productos (PSIRT) para coordinar con investigadores sobre las fallas reportadas. La compañía ha instado a sus clientes a actualizar urgentemente el firmware de sus cámaras. Para aquellos que no puedan hacerlo de inmediato, se recomienda desconectar los dispositivos vulnerables de acceso directo a internet, desactivar UPnP y aislar las cámaras en redes separadas para minimizar riesgos. En la asesoría disponible en línea de Dahua, se incluye una lista detallada de los modelos afectados y enlaces a firmwares corregidos.