ISGroup Conseil en Cybersécurité

CVE-2025-13658 : Vulnérabilité d’exécution de code à distance non authentifiée dans Longwatch

Les appareils Longwatch sont des composants spécialisés des systèmes de contrôle industriel (ICS), fréquemment utilisés dans les secteurs des infrastructures critiques, notamment la fabrication, l’énergie et les services publics. Leur fonction est souvent liée à la surveillance et à la gestion de processus physiques, ce qui rend leur fiabilité et leur sécurité fondamentales pour l’intégrité et la sécurité opérationnelle.

Cette vulnérabilité représente un risque critique en raison de la combinaison d’un accès distant non authentifié et d’une exécution au niveau SYSTEM. Un attaquant n’a besoin d’aucun accès ou identifiant préalable pour obtenir le compromis total de l’appareil. Étant donné que ces systèmes sont souvent considérés comme isolés mais peuvent être exposés involontairement à des réseaux d’entreprise ou à Internet, la surface d’attaque potentielle est significative.

La disponibilité publique d’un exploit pour cette vulnérabilité est confirmée. La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a émis des avis concernant des vulnérabilités dans les systèmes de contrôle industriel. Cela indique que la vulnérabilité est bien comprise et probablement déjà activement exploitée par des acteurs malveillants. Tout appareil Longwatch non mis à jour et accessible depuis le réseau doit être considéré comme étant à risque imminent de compromission.

ProduitLongwatch
Date2025-12-04 12:21:38

Résumé technique

L’origine de la vulnérabilité est une CWE-306 : Absence d’authentification pour une fonction critique sur un point de terminaison HTTP spécifique. Le serveur web de l’appareil expose une fonction administrative puissante sans exiger aucune authentification, permettant à tout utilisateur connecté au réseau de l’invoquer. Le problème est aggravé par l’absence de contrôles d’intégrité sur le code ou les commandes exécutées.

La chaîne d’attaque est la suivante :

  1. L’attaquant identifie un appareil Longwatch vulnérable accessible sur le réseau.
  2. L’attaquant crée une simple requête HTTP GET vers un point de terminaison exposé spécifique (ex. /api/debug/executeSystemCommand).
  3. La requête inclut des paramètres spécifiant une commande à exécuter sur le système d’exploitation sous-jacent.
  4. Le firmware de l’appareil reçoit cette requête et, sans valider aucune session utilisateur ou identifiant, transmet directement la commande à un shell système pour une exécution avec les privilèges maximums (SYSTEM/root).

Une représentation conceptuelle de la logique vulnérable est :

func handle_request(http_request):
  // Aucun contrôle d'authentification n'est effectué ici
  command = http_request.get_parameter("command")

  // La 'commande' fournie par l'utilisateur est exécutée directement
  execute_as_system(command)

Versions concernées : toutes les versions du firmware Longwatch antérieures à la 5.2.1 sont vulnérables.
Version corrigée : la vulnérabilité a été résolue à partir de la version de firmware 5.2.1.

Une exploitation réussie accorde à l’attaquant le contrôle total sur l’appareil, lui permettant d’interrompre des processus industriels, d’exfiltrer des données opérationnelles sensibles, de se déplacer latéralement vers d’autres appareils du réseau ICS, ou potentiellement de générer des conditions physiques dangereuses.

Recommandations

  • Mettre à jour immédiatement : Effectuez la mise à niveau de tous les appareils Longwatch vers la version de firmware 5.2.1 ou plus récente. C’est le seul moyen d’atténuer complètement la vulnérabilité.
  • Atténuations : Si la mise à jour n’est pas immédiatement possible :
    • Isolez les appareils Longwatch d’Internet et de tous les réseaux d’entreprise non essentiels. Ces appareils ne doivent pas être accessibles depuis des réseaux non approuvés.
    • Mettez en œuvre la segmentation du réseau pour limiter la communication vers et depuis les appareils exclusivement aux systèmes autorisés présents dans le réseau OT/ICS.
    • Si l’appareil doit rester accessible, placez-le derrière un pare-feu d’application web (WAF) ou un reverse proxy avec des règles bloquant l’accès au point de terminaison HTTP vulnérable.

  • Recherche et surveillance :

    • Effectuez un audit des journaux du serveur web des appareils Longwatch à la recherche de requêtes GET vers des points de terminaison administratifs inattendus ou non documentés, en particulier ceux contenant des commandes shell ou des chaînes suspectes.
    • Surveillez tout trafic réseau sortant anormal provenant des appareils Longwatch, ce qui pourrait indiquer un canal C2 post-compromission.
    • Vérifiez l’intégrité des appareils pour détecter toute modification non autorisée de la configuration ou la présence de nouveaux fichiers ou processus inconnus.

  • Réponse aux incidents :

    • En cas de suspicion de compromission, activez immédiatement le plan de réponse aux incidents. Isolez les appareils compromis du réseau pour empêcher les mouvements latéraux et préserver les preuves forensiques.

  • Défense en profondeur :

    • Assurez la disponibilité de sauvegardes robustes et testées des configurations des appareils et des données de processus pour une récupération complète.
    • Appliquez les principes du moindre privilège sur l’ensemble du réseau ICS pour limiter l’impact d’une éventuelle compromission.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *