ISGroup Consultoría de Ciberseguridad

CVE-2025-13658: Vulnerabilidad de Ejecución Remota de Código no autenticada en Longwatch

Los dispositivos Longwatch son sistemas especializados de videovigilancia y monitorización remota, empleados a menudo en infraestructuras críticas y entornos de sistemas de control industrial (ICS). Su papel en la monitorización de procesos físicos sensibles implica que una vulneración puede tener consecuencias físicas concretas en el mundo real, más allá de la típica pérdida de datos.

El impacto de esta vulnerabilidad es una ejecución remota de código (RCE) no autenticada con privilegios de nivel SYSTEM. Esto representa una vulneración total de la confidencialidad, integridad y disponibilidad del dispositivo. Debido a la simplicidad del exploit —que solo requiere una solicitud HTTP GET especialmente diseñada—, el umbral de acceso para los atacantes es extremadamente bajo.

Esta vulnerabilidad ha sido objeto de una alerta de la CISA Industrial Control Systems (ICS), señalando un elevado nivel de preocupación para los propietarios de infraestructuras críticas. Dada la divulgación pública y la amplia atención mediática, los equipos de seguridad deben asumir que los actores maliciosos están buscando y explotando activamente dispositivos Longwatch expuestos y no actualizados. Cualquier sistema Longwatch accesible desde Internet está en riesgo inmediato y crítico.

ProductoLongwatch
Fecha2025-12-05 00:33:08

Resumen técnico

La causa principal de la CVE-2025-13658 es un grave error en la validación de entrada dentro del servidor web del dispositivo. La vulnerabilidad puede clasificarse como una forma de CWE-78: Neutralización inadecuada de elementos especiales utilizados en un comando del SO (‘Inyección de comandos del SO’). El dispositivo expone un endpoint HTTP que acepta solicitudes GET y algunos parámetros dentro de la solicitud se pasan directamente al sistema operativo subyacente para su ejecución sin una sanitización o validación adecuada.

La cadena de ataque es la siguiente:

  1. Un atacante no autenticado identifica un dispositivo Longwatch expuesto.
  2. El atacante construye una única solicitud HTTP GET que contiene comandos del SO integrados dentro de un parámetro específico enviado al endpoint vulnerable.
  3. El servicio web del dispositivo no valida la entrada y pasa la cadena maliciosa a una shell del sistema.
  4. El comando integrado se ejecuta con privilegios de nivel SYSTEM, otorgando al atacante el control total del dispositivo.

El fallo de seguridad fundamental es la falta de controles básicos como la sanitización de entradas, la firma de código y la validación de ejecución. No se han hecho públicas versiones específicas afectadas; por lo tanto, todos los dispositivos Longwatch que exponen una interfaz HTTP deben considerarse vulnerables hasta que se aplique un parche. Un atacante exitoso puede exfiltrar datos sensibles, manipular el funcionamiento del dispositivo o utilizar el sistema comprometido como punto de apoyo para atacar más profundamente la red de tecnología operativa (OT).

Recomendaciones

  • Aplicar parches inmediatamente: contactar al proveedor para obtener y aplicar las actualizaciones de seguridad o parches de firmware necesarios para corregir esta vulnerabilidad. No hay información pública sobre las versiones, por lo que se requiere una solicitud directa al proveedor.
  • Mitigaciones:
    • Retirar inmediatamente cualquier dispositivo Longwatch de la exposición directa a Internet.
    • Colocar los dispositivos detrás de un firewall o VPN y controlar estrictamente el acceso a la interfaz de gestión HTTP. Permitir solo direcciones IP de confianza.
    • Si es posible, deshabilitar la interfaz HTTP si no es necesaria para las operaciones comerciales.

  • Threat Hunting y monitorización:

    • Analizar los registros del firewall y del servidor web en busca de solicitudes GET entrantes hacia el dispositivo Longwatch que contengan caracteres inusuales, comandos de shell (ej. wget, curl, chmod) o direcciones IP en los parámetros.
    • Monitorizar cualquier conexión de red saliente inesperada proveniente de los dispositivos Longwatch, ya que esto podría indicar que un atacante está estableciendo una shell inversa o exfiltrando datos.

  • Respuesta a incidentes:

    • Si se sospecha de una vulneración, aislar inmediatamente el dispositivo afectado de la red para prevenir movimientos laterales.
    • Conservar los registros, el firmware y una imagen del disco del dispositivo para el análisis forense.
    • Asumir que el atacante puede haber realizado un movimiento lateral e iniciar una búsqueda más amplia de actividad maliciosa dentro del segmento de red.

  • Defensa en profundidad:

    • Asegurarse de que las redes OT (Tecnología Operativa) estén correctamente segmentadas de las redes IT corporativas para contener posibles vulneraciones.
    • Implementar un programa sólido de gestión de inventario de activos y vulnerabilidades para identificar rápidamente los sistemas ICS (Sistemas de Control Industrial) en riesgo.

[Callforaction-THREAT-Footer]

In