Hunt Electronics’in hibrid DVR’lerinde yeni açıklanan kritik bir güvenlik açığı, binlerce gözetim sistemini tehlikeli bir şekilde maruz bıraktı ve yönetici kimlik bilgileri internetteki herkese düz metin olarak erişilebilir.
Güvenlik araştırmacıları bu kusuru CVE-2025-6561 tanımlayıcısını atadılar ve etkilenen kullanıcılardan acil eylemin acil ihtiyacının altını çizerek maksimum CVSS şiddet puanı 9.8 taşıyor.
Kritik maruz kalma: Ne oldu?
Güvenlik açığı, Hunt Electronics’in HBF-09KD ve HBF-16NK hibrid DVR modellerini çalıştıran ürün yazılımı sürümü v3.1.67_1786 BB11115 ve daha önce çalıştırır.
.png
)
Birden fazla güvenlik tavsiyesine göre, kimlik doğrulanmamış uzak saldırganlar, sistemin yapılandırma dosyasını savunmasız bir cihazdan doğrudan alabilir.
| CVE kimliği | CVSS Puanı | Etkilenen modeller | Tanım |
| CVE-2025-6561 | 9.8 | HBF-09KD, HBF-16NK | Hassas bilgilerin maruz kalması: düz metin yönetici kimlik bilgileriyle yapılandırılmamış uzaktan erişim |
Bu dosya düz metin içinde depolanan yönetici kimlik bilgileri içerir, yani saldırganların tam idari erişim elde etmek için herhangi bir kimlik doğrulama mekanizmasını giriş yapması veya atlamaları gerekmez.
Bu kimlik bilgilerine sahip olduktan sonra, bir saldırgan şunları yapabilir:
- DVR sisteminin tam kontrolünü ele alalım
- Gözetim yayınlarını manipüle edin veya devre dışı bırakın
- Ağ içindeki daha fazla saldırı için tehlikeye atılan DVR’yi bir fırlatma rampası olarak kullanın
- Hassas video görüntülerini veya diğer sistem verilerini açıklayın
Bu güvenlik açığı, fiziksel güvenlik için bu DVR’lere dayanan kuruluşlar için ciddi bir tehdidi temsil etmektedir.
Yönetici kimlik bilgilerinin maruz kalması sadece gözetim işlemlerinin bütünlüğünü tehlikeye atmakla kalmaz, aynı zamanda DVR dahili sistemlere bağlanırsa daha geniş ağ uzlaşması riskini de artırır.
Kusurun sömürü kolaylığı – kimlik doğrulaması gerektirmeyen – riski daha da artırır.
İyileştirme ve öneriler
Hunt Electronic, bu güvenlik açığını ele almak için yamalı bir ürün yazılımı sürümü (v3.1.70_1806 BB50604 veya üstü) yayınladı.
Kullanıcıların cihazlarını derhal güncellemeleri şiddetle tavsiye edilir. Önerilen ek eylemler şunları içerir:
- Etkilenen DVR’lerin halka açık ağlardan izole edilmesi
- Yamalanana kadar uzaktan erişimi devre dışı bırakma
- Yama yaptıktan sonra tüm yönetici şifrelerini değiştirme
- Yetkisiz Erişim Denemeleri için İzleme Sistemleri
Güncellenememesi, organizasyonel ağlardaki saldırganlar tarafından yetkisiz kontrole, gözetim manipülasyonuna ve potansiyel yanal harekete açık.
Hunt Electronic DVR’lerde CVE-2025-6561 güvenlik açığı, güvenli kimlik bilgisi depolama ve zamanında yamalamanın önemini açık bir hatırlatmadır.
Etkilenen modelleri kullanan kuruluşlar, gözetim altyapılarının potansiyel olarak felaket ihlallerini önlemek için iyileştirmeye öncelik vermelidir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin