ISGroup Cybersicherheitsberatung

CVE-2025-13658: Nicht authentifizierte Remote-Code-Ausführungsschwachstelle in Longwatch

Longwatch-Geräte sind spezialisierte Komponenten industrieller Steuerungssysteme (ICS), die häufig in kritischen Infrastrukturbereichen wie der Fertigung, der Energieversorgung und bei Versorgungsunternehmen eingesetzt werden. Ihre Funktion ist oft mit der Überwachung und Steuerung physikalischer Prozesse verbunden, weshalb ihre Zuverlässigkeit und Sicherheit für die operative Integrität und Sicherheit von entscheidender Bedeutung sind.

Diese Schwachstelle stellt aufgrund der Kombination aus nicht authentifiziertem Fernzugriff und der Ausführung auf SYSTEM-Ebene ein kritisches Risiko dar. Ein Angreifer benötigt keinen vorherigen Zugriff oder Anmeldedaten, um die vollständige Kontrolle über das Gerät zu erlangen. Da diese Systeme oft als isoliert betrachtet werden, aber unbeabsichtigt mit Unternehmensnetzwerken oder dem Internet verbunden sein können, ist die potenzielle Angriffsfläche erheblich.

Die öffentliche Verfügbarkeit eines Exploits für diese Schwachstelle ist bestätigt. Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat Warnmeldungen zu Schwachstellen in industriellen Steuerungssystemen herausgegeben. Dies deutet darauf hin, dass die Schwachstelle gut verstanden ist und wahrscheinlich bereits aktiv von böswilligen Akteuren ausgenutzt wird. Jedes nicht aktualisierte Longwatch-Gerät, das aus dem Netzwerk erreichbar ist, muss als unmittelbar gefährdet eingestuft werden.

ProduktLongwatch
Datum04.12.2025 12:21:38

Technische Zusammenfassung

Der Ursprung der Schwachstelle ist eine CWE-306: Fehlende Authentifizierung für eine kritische Funktion an einem spezifischen HTTP-Endpunkt. Der Webserver des Geräts macht eine leistungsstarke Verwaltungsfunktion zugänglich, ohne eine Authentifizierung zu erfordern, was es jedem Benutzer im Netzwerk ermöglicht, diese aufzurufen. Das Problem wird durch das Fehlen von Integritätsprüfungen für den ausgeführten Code oder die Befehle verschärft.

Die Angriffskette sieht wie folgt aus:

  1. Der Angreifer identifiziert ein anfälliges Longwatch-Gerät, das über das Netzwerk erreichbar ist.
  2. Der Angreifer erstellt eine einfache HTTP-GET-Anfrage an einen spezifischen, exponierten Endpunkt (z. B. /api/debug/executeSystemCommand).
  3. Die Anfrage enthält Parameter, die einen Befehl zur Ausführung auf dem zugrunde liegenden Betriebssystem angeben.
  4. Die Firmware des Geräts empfängt diese Anfrage und leitet den Befehl ohne Überprüfung einer Benutzersitzung oder von Anmeldedaten direkt an eine System-Shell zur Ausführung mit höchsten Privilegien (SYSTEM/root) weiter.

Eine konzeptionelle Darstellung der anfälligen Logik sieht wie folgt aus:

func handle_request(http_request):
  // Hier wird keine Authentifizierungsprüfung durchgeführt
  command = http_request.get_parameter("command")

  // Der vom Benutzer bereitgestellte 'command' wird direkt ausgeführt
  execute_as_system(command)

Betroffene Versionen: Alle Longwatch-Firmware-Versionen vor 5.2.1 sind anfällig.
Korrigierte Version: Die Schwachstelle wurde ab der Firmware-Version 5.2.1 behoben.

Ein erfolgreicher Exploit gewährt dem Angreifer die volle Kontrolle über das Gerät, was es ihm ermöglicht, industrielle Prozesse zu unterbrechen, sensible Betriebsdaten zu exfiltrieren, sich seitwärts zu anderen Geräten im ICS-Netzwerk zu bewegen oder potenziell unsichere physikalische Zustände herbeizuführen.

Empfehlungen

  • Sofortiges Update: Führen Sie ein Upgrade aller Longwatch-Geräte auf die Firmware-Version 5.2.1 oder neuer durch. Dies ist der einzige Weg, die Schwachstelle vollständig zu beheben.
  • Abhilfemaßnahmen: Falls ein Update nicht sofort möglich ist:
    • Isolieren Sie Longwatch-Geräte vom Internet und allen nicht wesentlichen Unternehmensnetzwerken. Diese Geräte dürfen nicht von nicht vertrauenswürdigen Netzwerken aus erreichbar sein.
    • Implementieren Sie eine Netzwerksegmentierung, um die Kommunikation von und zu den Geräten ausschließlich auf autorisierte Systeme im OT/ICS-Netzwerk zu beschränken.
    • Wenn das Gerät erreichbar bleiben muss, platzieren Sie es hinter einer Web Application Firewall (WAF) oder einem Reverse Proxy mit Regeln, die den Zugriff auf den anfälligen HTTP-Endpunkt blockieren.

  • Suche und Überwachung:

    • Führen Sie eine Prüfung der Webserver-Protokolle der Longwatch-Geräte auf GET-Anfragen an unerwartete oder nicht dokumentierte Verwaltungs-Endpunkte durch, insbesondere solche, die Shell-Befehle oder verdächtige Zeichenfolgen enthalten.
    • Überwachen Sie den ausgehenden Netzwerkverkehr von Longwatch-Geräten auf Anomalien, die auf einen C2-Kanal nach einer Kompromittierung hindeuten könnten.
    • Überprüfen Sie die Integrität der Geräte auf unbefugte Konfigurationsänderungen oder das Vorhandensein neuer, unbekannter Dateien oder Prozesse.

  • Reaktion auf Vorfälle:

    • Aktivieren Sie bei Verdacht auf eine Kompromittierung sofort den Incident-Response-Plan. Isolieren Sie die betroffenen Geräte vom Netzwerk, um seitliche Bewegungen zu verhindern und forensische Beweise zu sichern.

  • Defense-in-Depth:

    • Stellen Sie sicher, dass robuste und getestete Backups der Gerätekonfigurationen und Prozessdaten für eine vollständige Wiederherstellung verfügbar sind.
    • Wenden Sie das Prinzip der geringsten Privilegien (Least Privilege) im gesamten ICS-Netzwerk an, um die Auswirkungen einer möglichen Kompromittierung zu begrenzen.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *