Longwatch-Geräte sind spezialisierte Systeme für die Videoüberwachung und Fernüberwachung, die häufig in kritischen Infrastrukturen und Umgebungen mit industriellen Steuerungssystemen (ICS) eingesetzt werden. Ihre Rolle bei der Überwachung sensibler physikalischer Prozesse bedeutet, dass eine Kompromittierung über den typischen Datenverlust hinaus konkrete physische Konsequenzen in der realen Welt haben kann.

Die Auswirkung dieser Schwachstelle ist eine nicht authentifizierte Remote Code Execution (RCE) mit SYSTEM-Rechten. Dies stellt eine vollständige Kompromittierung der Vertraulichkeit, Integrität und Verfügbarkeit des Geräts dar. Aufgrund der Einfachheit des Exploits – der lediglich eine speziell präparierte HTTP-GET-Anfrage erfordert – ist die Zugangshürde für Angreifer extrem niedrig.

Diese Schwachstelle war Gegenstand einer Warnmeldung der CISA Industrial Control Systems (ICS), die auf ein hohes Maß an Besorgnis für Betreiber kritischer Infrastrukturen hinweist. Angesichts der öffentlichen Offenlegung und der breiten medialen Aufmerksamkeit sollten Sicherheitsteams davon ausgehen, dass böswillige Akteure aktiv nach exponierten und nicht aktualisierten Longwatch-Geräten suchen und diese ausnutzen. Jedes Longwatch-System, das über das Internet zugänglich ist, ist einem unmittelbaren und kritischen Risiko ausgesetzt.

Produkt	Longwatch
Datum	05.12.2025 00:33:08

Technische Zusammenfassung

Die Hauptursache für CVE-2025-13658 ist ein schwerwiegender Fehler bei der Eingabevalidierung innerhalb des Webservers des Geräts. Die Schwachstelle kann als eine Form von CWE-78: Improper Neutralization of Special Elements used in an OS Command (‘OS Command Injection’) klassifiziert werden. Das Gerät stellt einen HTTP-Endpunkt bereit, der GET-Anfragen akzeptiert, wobei bestimmte Parameter innerhalb der Anfrage ohne angemessene Bereinigung oder Validierung direkt zur Ausführung an das zugrunde liegende Betriebssystem weitergeleitet werden.

Die Angriffskette stellt sich wie folgt dar:

1. Ein nicht authentifizierter Angreifer identifiziert ein exponiertes Longwatch-Gerät.
2. Der Angreifer erstellt eine einzelne HTTP-GET-Anfrage, die OS-Befehle enthält, welche in einen spezifischen Parameter eingebettet sind, der an den anfälligen Endpunkt gesendet wird.
3. Der Webdienst des Geräts validiert die Eingabe nicht und leitet die bösartige Zeichenfolge an eine System-Shell weiter.
4. Der eingebettete Befehl wird mit SYSTEM-Rechten ausgeführt, wodurch der Angreifer die volle Kontrolle über das Gerät erhält.

Das grundlegende Sicherheitsversagen liegt im Fehlen grundlegender Kontrollen wie Eingabebereinigung, Codesignierung und Ausführungsvalidierung. Es wurden keine spezifischen betroffenen Versionen veröffentlicht; daher müssen alle Longwatch-Geräte, die eine HTTP-Schnittstelle bereitstellen, bis zur Anwendung eines Patches als anfällig betrachtet werden. Ein erfolgreicher Angreifer kann sensible Daten exfiltrieren, den Betrieb des Geräts manipulieren oder das kompromittierte System als Sprungbrett nutzen, um tiefer in das Netzwerk der Betriebstechnik (OT) einzudringen.

Empfehlungen

• Sofortige Patch-Anwendung: Kontaktieren Sie den Hersteller, um die erforderlichen Sicherheitsupdates oder Firmware-Patches zur Behebung dieser Schwachstelle zu erhalten und anzuwenden. Da keine öffentlichen Informationen zu den Versionen vorliegen, ist eine direkte Anfrage beim Hersteller erforderlich.
• Mitigationsmaßnahmen:
  • Entfernen Sie Longwatch-Geräte umgehend aus der direkten Internetexposition.
  • Platzieren Sie die Geräte hinter einer Firewall oder einem VPN und kontrollieren Sie den Zugriff auf die HTTP-Verwaltungsschnittstelle streng. Erlauben Sie nur vertrauenswürdige IP-Adressen.
  • Deaktivieren Sie nach Möglichkeit die HTTP-Schnittstelle, falls diese für den Geschäftsbetrieb nicht erforderlich ist.

• Threat Hunting & Überwachung:
  • Analysieren Sie Firewall- und Webserver-Protokolle auf eingehende GET-Anfragen an das Longwatch-Gerät, die ungewöhnliche Zeichen, Shell-Befehle (z. B. wget, curl, chmod) oder IP-Adressen in den Parametern enthalten.
  • Überwachen Sie unerwartete ausgehende Netzwerkverbindungen von Longwatch-Geräten, da dies darauf hindeuten könnte, dass ein Angreifer eine Reverse-Shell aufbaut oder Daten exfiltriert.

• Reaktion auf Vorfälle:
  • Wenn eine Kompromittierung vermutet wird, isolieren Sie das betroffene Gerät sofort vom Netzwerk, um seitliche Bewegungen (Lateral Movement) zu verhindern.
  • Sichern Sie Protokolle, Firmware und ein Festplattenabbild des Geräts für die forensische Analyse.
  • Gehen Sie davon aus, dass der Angreifer möglicherweise seitliche Bewegungen im Netzwerk vollzogen hat, und starten Sie eine umfassendere Suche nach bösartigen Aktivitäten innerhalb des Netzwerksegments.

• Defense-in-Depth (Verteidigung in der Tiefe):
  • Stellen Sie sicher, dass OT-Netzwerke (Operational Technology) ordnungsgemäß von den IT-Unternehmensnetzwerken segmentiert sind, um etwaige Kompromittierungen einzudämmen.
  • Implementieren Sie ein robustes Programm zur Verwaltung von Assets und Schwachstellen, um gefährdete ICS-Systeme (Industrial Control Systems) schnell zu identifizieren.

[Callforaction-THREAT-Footer]