CVE-2025-13658: Vulnerabilità di Esecuzione di Codice Remota Non Autenticata in Longwatch

I dispositivi Longwatch sono componenti specializzati dei sistemi di controllo industriale (ICS), frequentemente impiegati nei settori delle infrastrutture critiche, tra cui manifatturiero, energetico e dei servizi pubblici. La loro funzione è spesso legata al monitoraggio e alla gestione di processi fisici, rendendo la loro affidabilità e sicurezza fondamentali per l’integrità e la sicurezza operativa.

Questa vulnerabilità rappresenta un rischio critico per via della combinazione di accesso remoto non autenticato ed esecuzione a livello SYSTEM. Un attaccante non necessita di alcun accesso o credenziale preventiva per ottenere il pieno compromesso del dispositivo. Considerando che questi sistemi sono spesso ritenuti isolati ma possono essere esposti involontariamente a reti aziendali o a Internet, la superficie di attacco potenziale risulta significativa.

È confermata la disponibilità pubblica di un exploit per questa vulnerabilità. La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha emesso avvisi riguardanti vulnerabilità nei Sistemi di Controllo Industriale. Ciò indica che la vulnerabilità è ben compresa e probabilmente già attivamente sfruttata da attori malevoli. Qualsiasi dispositivo Longwatch non aggiornato e accessibile dalla rete deve essere considerato a rischio imminente di compromissione.

Prodotto Longwatch
Data 2025-12-04 12:21:38

Riassunto tecnico

L’origine della vulnerabilità è una CWE-306: Mancanza di Autenticazione per una Funzione Critica su un endpoint HTTP specifico. Il server web del dispositivo espone una funzione amministrativa potente senza richiedere alcuna autenticazione, permettendo a qualsiasi utente connesso in rete di invocarla. Il problema è aggravato dalla mancanza di controlli di integrità sul codice o sui comandi eseguiti.

La catena di attacco è la seguente:

  1. L’attaccante identifica un dispositivo Longwatch vulnerabile accessibile in rete.
  2. L’attaccante crea una semplice richiesta HTTP GET verso un endpoint esposto specifico (es. /api/debug/executeSystemCommand).
  3. La richiesta include parametri che specificano un comando da eseguire sul sistema operativo sottostante.
  4. Il firmware del dispositivo riceve questa richiesta e, senza validare alcuna sessione utente o credenziali, passa direttamente il comando a una shell di sistema per l’esecuzione con i massimi privilegi (SYSTEM/root).

Una rappresentazione concettuale della logica vulnerabile è:

func handle_request(http_request):
  // No authentication check is performed here
  command = http_request.get_parameter("command")

  // The user-supplied 'command' is executed directly
  execute_as_system(command)

Versioni interessate: tutte le versioni firmware di Longwatch precedenti alla 5.2.1 sono vulnerabili.
Versione corretta: la vulnerabilità è stata risolta a partire dalla versione firmware 5.2.1.

Un exploit riuscito concede all’attaccante il pieno controllo sul dispositivo, permettendogli di interrompere processi industriali, esfiltrare dati operativi sensibili, spostarsi lateralmente verso altri dispositivi nella rete ICS, o potenzialmente generare condizioni fisiche non sicure.

Raccomandazioni

  • Aggiornare immediatamente: Effettuare l’upgrade di tutti i dispositivi Longwatch alla versione firmware 5.2.1 o più recente. Questo è l’unico modo per mitigare completamente la vulnerabilità.
  • Mitigazioni: Qualora l’aggiornamento non sia immediatamente possibile:
    • Isolare i dispositivi Longwatch da Internet e da tutte le reti aziendali non essenziali. Questi dispositivi non devono essere raggiungibili da reti non fidate.
    • Implementare la segmentazione della rete per limitare la comunicazione da e verso i dispositivi esclusivamente ai sistemi autorizzati presenti nella rete OT/ICS.
    • Se il dispositivo deve rimanere accessibile, posizionarlo dietro un Web Application Firewall (WAF) o un reverse proxy con regole che blocchino l’accesso all’endpoint HTTP vulnerabile.
  • Ricerca e Monitoraggio:
    • Eseguire un audit dei log del server web dei dispositivi Longwatch alla ricerca di richieste GET verso endpoint amministrativi inattesi o non documentati, in particolare quelli che contengono comandi shell o stringhe sospette.
    • Monitorare eventuali traffici di rete outbound anomali provenienti dai dispositivi Longwatch, che potrebbero indicare un canale C2 post-compromissione.
    • Verificare l’integrità dei dispositivi per eventuali modifiche non autorizzate alla configurazione o la presenza di nuovi file o processi sconosciuti.
  • Risposta agli incidenti:
    • In caso di sospetta compromissione, attivare immediatamente il piano di risposta agli incidenti. Isolare i dispositivi compromessi dalla rete per impedire movimenti laterali e preservare le prove forensi.
  • Difesa in profondità:
    • Garantire la disponibilità di backup robusti e testati delle configurazioni dei dispositivi e dei dati di processo per un recupero completo.
    • Applicare principi di privilegio minimo in tutta la rete ICS per limitare l’impatto di una possibile compromissione.

Vuoi garantire la massima sicurezza informatica alla tua azienda? ISGroup SRL è qui per aiutarti con soluzioni di cyber security su misura per la tua azienda.

Vuoi che gestiamo tutto noi per te? Il servizi di Virtual CISO e di gestione delle vulnerabilità sono perfetti per la tua organizzazione.

Hai già le idee chiare su quello che ti serve? Esplora i nostri servizi di:

E molto altro. Proteggi la tua azienda con i migliori esperti di cybersecurity!

In