CVE-2025-13658: Vulnerabilità di Esecuzione di Codice Remota non Autenticata in Longwatch

I dispositivi Longwatch sono sistemi specializzati di videosorveglianza e monitoraggio remoto, spesso impiegati in infrastrutture critiche e ambienti di sistemi di controllo industriale (ICS). Il loro ruolo nel monitoraggio di processi fisici sensibili implica che una compromissione possa avere conseguenze fisiche concrete nel mondo reale, oltre alla tipica perdita di dati.

L’impatto di questa vulnerabilità è una esecuzione di codice remota (RCE) non autenticata con privilegi di livello SYSTEM. Ciò rappresenta una compromissione totale della riservatezza, integrità e disponibilità del dispositivo. A causa della semplicità dell’exploit—che richiede solo una richiesta HTTP GET appositamente creata—la soglia di accesso per gli attaccanti è estremamente bassa.

Questa vulnerabilità è stata oggetto di un avviso della CISA Industrial Control Systems (ICS), segnalando un elevato livello di preoccupazione per i proprietari di infrastrutture critiche. Data la divulgazione pubblica e l’ampia attenzione mediatica, i team di sicurezza dovrebbero presumere che attori malevoli stiano attivamente cercando e sfruttando dispositivi Longwatch esposti e non aggiornati. Qualsiasi sistema Longwatch accessibile da Internet è a rischio immediato e critico.

Prodotto Longwatch
Data 2025-12-05 00:33:08

Riassunto tecnico

La causa principale della CVE-2025-13658 è un grave errore nella validazione dell’input all’interno del server web del dispositivo. La vulnerabilità può essere classificata come una forma di CWE-78: Improper Neutralization of Special Elements used in an OS Command (‘OS Command Injection’). Il dispositivo espone un endpoint HTTP che accetta richieste GET e alcuni parametri all’interno della richiesta vengono passati direttamente al sistema operativo sottostante per l’esecuzione senza un’adeguata sanitizzazione o validazione.

La catena dell’attacco è la seguente:

  1. Un attaccante non autenticato identifica un dispositivo Longwatch esposto.
  2. L’attaccante costruisce una singola richiesta HTTP GET contenente comandi OS incorporati all’interno di un parametro specifico inviato all’endpoint vulnerabile.
  3. Il servizio web del dispositivo non valida l’input e passa la stringa malevola a una shell di sistema.
  4. Il comando incorporato viene eseguito con privilegi di livello SYSTEM, garantendo all’attaccante il pieno controllo del dispositivo.

Il fallimento di sicurezza fondamentale è la mancanza di controlli di base quali la sanitizzazione dell’input, la firma del codice e la validazione dell’esecuzione. Non sono state rese pubbliche versioni specifiche interessate; pertanto, tutti i dispositivi Longwatch che espongono un’interfaccia HTTP devono essere considerati vulnerabili fino all’applicazione di una patch. Un attaccante riuscito può esfiltrare dati sensibili, manipolare il funzionamento del dispositivo o utilizzare il sistema compromesso come punto d’appoggio per attaccare più in profondità nella rete della tecnologia operativa (OT).

Raccomandazioni

  • Applicare patch immediatamente: contattare il fornitore per ottenere e applicare gli aggiornamenti di sicurezza o le patch firmware necessarie per correggere questa vulnerabilità. Non sono disponibili informazioni pubbliche sulle versioni, quindi è richiesta una richiesta diretta al fornitore.
  • Mitigazioni:
    • Rimuovere immediatamente qualsiasi dispositivo Longwatch dall’esposizione diretta a Internet.
    • Posizionare i dispositivi dietro un firewall o VPN e controllare rigorosamente l’accesso all’interfaccia di gestione HTTP. Consentire solo indirizzi IP attendibili.
    • Se possibile, disabilitare l’interfaccia HTTP se non necessaria per le operazioni aziendali.
  • Threat Hunting & Monitoraggio:
    • Analizzare i log del firewall e del server web alla ricerca di richieste GET in ingresso verso il dispositivo Longwatch che contengano caratteri insoliti, comandi shell (es. wget, curl, chmod) o indirizzi IP nei parametri.
    • Monitorare eventuali connessioni di rete in uscita inaspettate provenienti dai dispositivi Longwatch, poiché ciò potrebbe indicare che un attaccante sta stabilendo una shell inversa o esfiltrando dati.
  • Risposta agli incidenti:
    • Se si sospetta una compromissione, isolare immediatamente il dispositivo interessato dalla rete per prevenire movimenti laterali.
    • Conservare i log, il firmware e un’immagine del disco del dispositivo per l’analisi forense.
    • Presumere che l’attaccante possa aver effettuato un movimento laterale e avviare una ricerca più ampia di attività malevoli all’interno del segmento di rete.
  • Difesa in profondità:
    • Assicurarsi che le reti OT (Operational Technology) siano correttamente segmentate dalle reti IT aziendali per contenere eventuali compromissioni.
    • Implementare un programma solido di gestione dell’inventario degli asset e delle vulnerabilità per identificare rapidamente i sistemi ICS (Industrial Control Systems) a rischio.

Vuoi garantire la massima sicurezza informatica alla tua azienda? ISGroup SRL è qui per aiutarti con soluzioni di cyber security su misura per la tua azienda.

Vuoi che gestiamo tutto noi per te? Il servizi di Virtual CISO e di gestione delle vulnerabilità sono perfetti per la tua organizzazione.

Hai già le idee chiare su quello che ti serve? Esplora i nostri servizi di:

E molto altro. Proteggi la tua azienda con i migliori esperti di cybersecurity!

In