ISGroup Conseil en Cybersécurité

CVE-2025-13658 : Vulnérabilité d’exécution de code à distance non authentifiée dans Longwatch

Les dispositifs Longwatch sont des systèmes spécialisés de vidéosurveillance et de surveillance à distance, souvent utilisés dans les infrastructures critiques et les environnements de systèmes de contrôle industriel (ICS). Leur rôle dans la surveillance de processus physiques sensibles implique qu’une compromission peut avoir des conséquences physiques concrètes dans le monde réel, au-delà de la perte de données habituelle.

L’impact de cette vulnérabilité est une exécution de code à distance (RCE) non authentifiée avec des privilèges de niveau SYSTEM. Cela représente une compromission totale de la confidentialité, de l’intégrité et de la disponibilité du dispositif. En raison de la simplicité de l’exploit—qui ne nécessite qu’une requête HTTP GET spécialement conçue—le seuil d’accès pour les attaquants est extrêmement bas.

Cette vulnérabilité a fait l’objet d’un avis de la CISA Industrial Control Systems (ICS), signalant un niveau de préoccupation élevé pour les propriétaires d’infrastructures critiques. Compte tenu de la divulgation publique et de l’attention médiatique importante, les équipes de sécurité doivent supposer que des acteurs malveillants recherchent et exploitent activement les dispositifs Longwatch exposés et non mis à jour. Tout système Longwatch accessible depuis Internet est exposé à un risque immédiat et critique.

ProduitLongwatch
Date05-12-2025 00:33:08

Résumé technique

La cause principale de la CVE-2025-13658 est une erreur grave dans la validation des entrées au sein du serveur web du dispositif. La vulnérabilité peut être classée comme une forme de CWE-78 : Neutralisation incorrecte d’éléments spéciaux utilisés dans une commande OS (‘Injection de commande OS’). Le dispositif expose un point de terminaison HTTP qui accepte des requêtes GET, et certains paramètres au sein de la requête sont transmis directement au système d’exploitation sous-jacent pour exécution sans assainissement ni validation appropriés.

La chaîne d’attaque est la suivante :

  1. Un attaquant non authentifié identifie un dispositif Longwatch exposé.
  2. L’attaquant construit une requête HTTP GET unique contenant des commandes OS intégrées dans un paramètre spécifique envoyé au point de terminaison vulnérable.
  3. Le service web du dispositif ne valide pas l’entrée et transmet la chaîne malveillante à un shell système.
  4. La commande intégrée est exécutée avec des privilèges de niveau SYSTEM, garantissant à l’attaquant le contrôle total du dispositif.

La défaillance de sécurité fondamentale est l’absence de contrôles de base tels que l’assainissement des entrées, la signature de code et la validation de l’exécution. Aucune version spécifique affectée n’a été rendue publique ; par conséquent, tous les dispositifs Longwatch exposant une interface HTTP doivent être considérés comme vulnérables jusqu’à l’application d’un correctif. Un attaquant ayant réussi son intrusion peut exfiltrer des données sensibles, manipuler le fonctionnement du dispositif ou utiliser le système compromis comme point d’appui pour attaquer plus profondément le réseau de technologie opérationnelle (OT).

Recommandations

  • Appliquer les correctifs immédiatement : contactez le fournisseur pour obtenir et appliquer les mises à jour de sécurité ou les correctifs de firmware nécessaires pour corriger cette vulnérabilité. Aucune information publique n’étant disponible sur les versions, une demande directe auprès du fournisseur est requise.
  • Atténuations :
    • Retirez immédiatement tout dispositif Longwatch de l’exposition directe à Internet.
    • Placez les dispositifs derrière un pare-feu ou un VPN et contrôlez strictement l’accès à l’interface de gestion HTTP. Autorisez uniquement les adresses IP de confiance.
    • Si possible, désactivez l’interface HTTP si elle n’est pas nécessaire aux opérations commerciales.

  • Threat Hunting & Surveillance :

    • Analysez les journaux du pare-feu et du serveur web à la recherche de requêtes GET entrantes vers le dispositif Longwatch contenant des caractères inhabituels, des commandes shell (ex. wget, curl, chmod) ou des adresses IP dans les paramètres.
    • Surveillez toute connexion réseau sortante inattendue provenant des dispositifs Longwatch, car cela pourrait indiquer qu’un attaquant établit un shell inversé ou exfiltre des données.

  • Réponse aux incidents :

    • En cas de suspicion de compromission, isolez immédiatement le dispositif concerné du réseau pour empêcher tout mouvement latéral.
    • Conservez les journaux, le firmware et une image disque du dispositif pour l’analyse forensique.
    • Partez du principe que l’attaquant a pu effectuer un mouvement latéral et lancez une recherche plus large d’activités malveillantes au sein du segment réseau.

  • Défense en profondeur :

    • Assurez-vous que les réseaux OT (technologie opérationnelle) sont correctement segmentés des réseaux IT d’entreprise pour contenir d’éventuelles compromissions.
    • Mettez en œuvre un programme solide de gestion de l’inventaire des actifs et des vulnérabilités pour identifier rapidement les systèmes ICS (systèmes de contrôle industriel) à risque.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *