A falha crítica CVE-2025-13658 no Longwatch permite que invasores executem código remoto com privilégios do SISTEMA via HTTP, sem autenticação, afetando diretamente ambientes de infraestrutura crítica.
Detalhes da vulnerabilidade
UM vulnerabilidade Chega ao sistema de vídeo Industrial Video & Control Longwatch nas versões 6.309 a 6.334 e é definido como “Controle Inadequado de Geração de Código” (injeção de código), com pontuação CVSS crítica (9,3–9,8, dependendo da métrica usada). Um endpoint HTTP exposto aceita requisições GET não autenticadas e permite injetar e executar código arbitrário por falta de controles de assinatura e de execução.
Impacto em OT e ICS
A exploração bem sucedida concede privilégios SYSTEM em Windows, oferecendo controle completo sobre o servidor de vigilância: acesso a feeds de vídeo, alteração de configurações e uso da máquina como pivô para novos ataques na rede OT/ICS. O Longwatch é usado em setores como energia e saneamento, o que amplia o risco de impactos operacionais e de segurança física.
Alerta da CISA e status de exploração
A CISA publicou o aviso ICSA-25-336-01 em 2 de dezembro de 2025, destacando que a exploração não exige autenticação nem interação do usuário e pode ser feita com baixa complexidade. Até o momento, não há relatos públicos de exploração em campo, mas a criticidade e a simplicidade do vetor tornam a correção imediata uma prioridade.
Correção e mitigação recomendadas
A Industrial Video & Control lançou a versão 6.335 do Longwatch para corrigir a falha; todas as instalações entre 6.309 e 6.334 devem ser atualizadas sem demora. A CISA também recomenda isolar sistemas de controle da internet, segmentar redes com firewalls entre ambientes de negócio e OT, e usar VPNs seguras e bem configuradas para qualquer acesso remoto.
