ISGroup Consultoría de Ciberseguridad

CVE-2025-13658: Vulnerabilidad de Ejecución Remota de Código No Autenticada en Longwatch

Los dispositivos Longwatch son componentes especializados de los sistemas de control industrial (ICS), frecuentemente empleados en los sectores de infraestructuras críticas, incluyendo la manufactura, la energía y los servicios públicos. Su función está a menudo vinculada al monitoreo y la gestión de procesos físicos, lo que hace que su fiabilidad y seguridad sean fundamentales para la integridad y la seguridad operativa.

Esta vulnerabilidad representa un riesgo crítico debido a la combinación de acceso remoto no autenticado y ejecución a nivel SYSTEM. Un atacante no necesita ningún acceso o credencial previa para obtener el compromiso total del dispositivo. Considerando que estos sistemas a menudo se consideran aislados, pero pueden estar expuestos involuntariamente a redes corporativas o a Internet, la superficie de ataque potencial resulta significativa.

Está confirmada la disponibilidad pública de un exploit para esta vulnerabilidad. La Agencia de Ciberseguridad y de Infraestructura (CISA) de los Estados Unidos ha emitido avisos relacionados con vulnerabilidades en los Sistemas de Control Industrial. Esto indica que la vulnerabilidad es bien conocida y probablemente ya esté siendo explotada activamente por actores maliciosos. Cualquier dispositivo Longwatch no actualizado y accesible desde la red debe considerarse en riesgo inminente de compromiso.

ProductoLongwatch
Fecha2025-12-04 12:21:38

Resumen técnico

El origen de la vulnerabilidad es una CWE-306: Falta de Autenticación para una Función Crítica en un endpoint HTTP específico. El servidor web del dispositivo expone una función administrativa potente sin requerir ninguna autenticación, permitiendo que cualquier usuario conectado a la red la invoque. El problema se ve agravado por la falta de controles de integridad sobre el código o los comandos ejecutados.

La cadena de ataque es la siguiente:

  1. El atacante identifica un dispositivo Longwatch vulnerable accesible en la red.
  2. El atacante crea una solicitud HTTP GET simple hacia un endpoint expuesto específico (ej. /api/debug/executeSystemCommand).
  3. La solicitud incluye parámetros que especifican un comando para ejecutar en el sistema operativo subyacente.
  4. El firmware del dispositivo recibe esta solicitud y, sin validar ninguna sesión de usuario o credenciales, pasa directamente el comando a una shell del sistema para su ejecución con los máximos privilegios (SYSTEM/root).

Una representación conceptual de la lógica vulnerable es:

func handle_request(http_request):
  // No authentication check is performed here
  command = http_request.get_parameter("command")

  // The user-supplied 'command' is executed directly
  execute_as_system(command)

Versiones afectadas: todas las versiones de firmware de Longwatch anteriores a la 5.2.1 son vulnerables.
Versión corregida: la vulnerabilidad ha sido resuelta a partir de la versión de firmware 5.2.1.

Un exploit exitoso concede al atacante el control total sobre el dispositivo, permitiéndole interrumpir procesos industriales, exfiltrar datos operativos sensibles, moverse lateralmente hacia otros dispositivos en la red ICS, o potencialmente generar condiciones físicas inseguras.

Recomendaciones

  • Actualizar inmediatamente: Realizar la actualización de todos los dispositivos Longwatch a la versión de firmware 5.2.1 o más reciente. Esta es la única forma de mitigar completamente la vulnerabilidad.
  • Mitigaciones: Si la actualización no es posible de inmediato:
    • Aislar los dispositivos Longwatch de Internet y de todas las redes corporativas no esenciales. Estos dispositivos no deben ser alcanzables desde redes no confiables.
    • Implementar la segmentación de la red para limitar la comunicación desde y hacia los dispositivos exclusivamente a los sistemas autorizados presentes en la red OT/ICS.
    • Si el dispositivo debe permanecer accesible, colocarlo detrás de un Web Application Firewall (WAF) o un proxy inverso con reglas que bloqueen el acceso al endpoint HTTP vulnerable.

  • Investigación y Monitoreo:

    • Realizar una auditoría de los registros (logs) del servidor web de los dispositivos Longwatch en busca de solicitudes GET hacia endpoints administrativos inesperados o no documentados, en particular aquellos que contengan comandos de shell o cadenas sospechosas.
    • Monitorear cualquier tráfico de red saliente (outbound) anómalo proveniente de los dispositivos Longwatch, lo que podría indicar un canal C2 post-compromiso.
    • Verificar la integridad de los dispositivos ante posibles modificaciones no autorizadas en la configuración o la presencia de nuevos archivos o procesos desconocidos.

  • Respuesta a incidentes:

    • En caso de sospecha de compromiso, activar inmediatamente el plan de respuesta a incidentes. Aislar los dispositivos comprometidos de la red para impedir movimientos laterales y preservar las pruebas forenses.

  • Defensa en profundidad:

    • Garantizar la disponibilidad de copias de seguridad robustas y probadas de las configuraciones de los dispositivos y de los datos de proceso para una recuperación completa.
    • Aplicar principios de privilegio mínimo en toda la red ICS para limitar el impacto de un posible compromiso.

[Callforaction-THREAT-Footer]

In