Il Trend Micro Zero Day Initiative ha pubblicato l'8 luglio 2026 l'advisory ZDI-26-399, che documenta una vulnerabilità zero-day nelle telecamere Lorex 2K Indoor Wi-Fi Security Camera. La falla permette esecuzione di codice arbitrario come root a un attaccante posizionato sulla stessa rete locale, senza che l'utente debba compiere alcuna azione. La disclosure forzata chiude un ciclo di responsible disclosure durato quasi quattordici mesi, durante i quali il vendor non ha consegnato un aggiornamento correttivo.
La scoperta è avvenuta in contesto Pwn2Own, il che la colloca nel novero delle vulnerabilità con proof-of-concept pubblico e elevata riproducibilità tecnica. Il punteggio CVSS è 7.5, secondo la classificazione ZDI pubblicata nella lista degli advisory. Non risulta ancora assegnato un identificatore CVE.
- La vulnerabilità ZDI-26-399 consente RCE come root su telecamere Lorex 2K Indoor Wi-Fi Security Camera senza interazione utente
- L'attaccante deve essere network-adjacent: stessa rete Wi-Fi, segmento locale o capacità di impersonare il server del device management
- Il vendor è stato notificato il 6 maggio 2025; la pubblicazione forzata è avvenuta il 8 luglio 2026 per assenza di patch
- La falla specifica risiede nell'improper certificate validation del device management server, combinabile con altre vulnerabilità per escalation a root
Il meccanismo: certificate validation bypass nel device management
La descrizione tecnica dell'advisory ZDI-26-399 identifica con precisione la superficie d'attacco. La falla esiste nella funzionalità di device management della telecamera. Il problema deriva dalla mancata validazione corretta del certificato presentato dal server. Questo difetto logico permette a un attaccante in posizione man-in-the-middle — o con la capacità di impersonare il server legittimo — di intercettare o manipolare il canale di comunicazione.
L'exploitation porta a esecuzione di codice arbitrario. Per raggiungere il contesto di root, l'attaccante deve combinare questa vulnerabilità con altre falle non specificate nell'advisory. Il dossier non elenca quali vulnerabilità aggiuntive siano necessarie, né il percorso esatto di chaining. Ciò che è documentato è la struttura modulare dell'attacco: il certificate validation bypass apre la porta, altre primitive completano l'escalation.
"Questa vulnerabilità consente a attaccanti network-adjacent di eseguire codice arbitrario su installazioni affette di Lorex 2K Indoor Wi-Fi Security Camera. L'interazione dell'utente non è richiesta per sfruttarla." — ZDI Advisory ZDI-26-399
La timeline: da Pwn2Own a 0-day forzata
La vulnerabilità è stata scoperta e dimostrata in contesto Pwn2Own, come confermato dalla lista pubblicata dallo Zero Day Initiative che classifica ZDI-CAN-26851 con l'etichetta esplicita "(Pwn2Own)". La notifica al vendor è partita il 6 maggio 2025. Il 3 settembre 2025 il team ZDI ha sollecitato un aggiornamento sullo stato della correzione. Il 25 giugno 2026 il vendor ha comunicato che la fix era "in progress".
Quattordici mesi dopo la prima segnalazione, l'assenza di un aggiornamento rilasciato ha determinato la pubblicazione forzata come zero-day. La data di pubblicazione è l'8 luglio 2026. L'advisory riporta che al momento della diffusione non esisteva patch disponibile. Il vendor non ha fornito una roadmap di rilascio né una versione firmware corretta.
Perimetro di rischio: perché network-adjacent non significa innocuo
Il requisito network-adjacent limita la superficie d'attacco rispetto a una vulnerabilità WAN-routable, ma non la rende marginale per gli scenari domestici e SMB. Un attaccante sulla stessa rete Wi-Fi può posizionarsi come man-in-the-middle tra la telecamera e i server di gestione Lorex. Questa condizione si realizza in molteplici configurazioni operative: rete guest condivisa in ambienti residenziali multi-tenant, compromissione di un altro dispositivo IoT sulla stessa LAN, o semplice accesso fisico nel raggio del segnale Wi-Fi.
Le telecamere di sorveglianza sono per loro natura sempre attive, sempre connesse, e difficili da disattivare senza perdere la funzione di sicurezza per cui sono state acquistate. Questa asimmetria è il cuore del problema: il dispositivo non può essere semplicemente spento in attesa di patch, e l'isolamento completo ne annulla l'utilità.
Cosa fare adesso
L'advisory ZDI-26-399 indica una sola strategia di mitigazione: limitare l'interazione con il prodotto. Su questa indicazione documentale, si possono trarre azioni concrete coerenti con il perimetro tecnico confermato.
- Isolare la telecamera su segmento Wi-Fi dedicato senza accesso ad altri dispositivi della rete domestica, riducendo la probabilità di chaining da compromissioni laterali
- Monitorare il traffico DNS e TLS originato dalla telecamera verso gli endpoint di gestione Lorex, segnalando anomalie di certificato o connessioni verso IP non noti
- Verificare periodicamente la disponibilità di aggiornamenti firmware attraverso l'app ufficiale Lorex o il portale vendor, data l'indicazione "in progress" del 25 giugno 2026
- Valutare la disconnessione temporanea nelle reti dove il rischio di presenza di attaccanti network-adjacent è elevato (reti guest pubbliche, Wi-Fi condivisi, ambienti con dispositivi IoT di provenienza e aggiornamento incerti)
Il limite della responsible disclosure su hardware consumer
Il caso ZDI-26-399 evidenzia un punto di attrito strutturale nella gestione delle vulnerabilità IoT. Il ciclo di disclosure standard — segnalazione privata, periodo di embargo, coordinata pubblicazione con patch — presuppone un vendor in grado di rilasciare aggiornamenti in tempi misurabili. Quando il dispositivo è un hardware consumer con firmware chiuso, l'assenza di fix entro quattordici mesi non è una deviazione ma una modalità ricorrente.
La differenza con i software enterprise è nella reversibilità della compromissione: una telecamera di sorveglianza non può essere "disinstallata" come un'applicazione aziendale, e l'utente finale non dispone di strumenti di mitigazione alternative. Il Pwn2Own ha validato la vulnerabilità come tecnicamente sfruttabile; la responsible disclosure ha fallito nel trasferire questa validazione in una protezione effettiva. Il risultato è un dispositivo attivo, ampiamente distribuito, con RCE documentata e senza correzione.
Il dossier non specifica la natura dei dati esposti in caso di compromissione, né il volume stimato di dispositivi affetti. Non emergono sovrapposizioni infrastrutturali che colleghino questa vulnerabilità ad altri advisory Lorex o a campagne di exploitation attive allo stato attuale.
Fonti
- http://www.zerodayinitiative.com/advisories/ZDI-26-399/
- https://www.zerodayinitiative.com/advisories/published/
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.