В ноябре 2025 года была подтверждена критическая уязвимость в программном обеспечении для видеонаблюдения и мониторинга Longwatch Video Surveillance от компании Industrial Video & Control Co. Эта уязвимость, зарегистрированная в Банке данных угроз (BDU) под номером BDU:2025-15403 и получившая идентификатор CVE-2025-13658, представляет серьезную угрозу для систем автоматизированного управления технологическими процессами (АСУ ТП).
Детали уязвимости
Уязвимость относится к классу внедрения кода (CWE-94) из-за ошибки в управлении генерацией кода. Проще говоря, злоумышленник может удаленно отправить специально сформированные GET-запросы к веб-интерфейсу системы. В результате атакующий способен повысить свои привилегии в системе и выполнить произвольный вредоносный код (malicious code). Таким образом, это дает полный контроль над уязвимым устройством.
Под угрозой находятся версии программного обеспечения Longwatch Video Surveillance с 6.309 по 6.334 включительно. Поскольку это специализированное средство АСУ ТП, оно часто развертывается на критически важных объектах, таких как промышленные предприятия, энергетическая инфраструктура и транспортные узлы. Следовательно, эксплуатация уязвимости может привести к нарушению технологических процессов, хищению конфиденциальных видео-данных или использованию системы в качестве плацдарма для атак на другие сегменты сети.
Уровень опасности уязвимости оценен как критический по всем основным версиям системы оценки CVSS. Базовый балл CVSS 2.0 достигает максимального значения 10.0, а CVSS 3.0 - 9.8 из 10. Эти оценки отражают легкость эксплуатации уязвимости. В частности, для атаки не требуются аутентификация или взаимодействие с пользователем, а потенциальный ущерб является максимальным.
Важно отметить, что вендор уже подтвердил проблему и выпустил обновления безопасности. Соответственно, основной способ устранения риска - немедленное обновление ПО до версии, не входящей в уязвимый диапазон. Производитель опубликовал официальный бюллетень безопасности, содержащий детальные рекомендации.
Эксперты по кибербезопасности для промышленных систем напоминают, что средства видеонаблюдения часто становятся целью для злоумышленников. Во-первых, они обычно имеют доступ к сети. Во-вторых, на них могут быть установлены устаревшие версии ПО. Поэтому, помимо установки патчей, рекомендуется сегментировать сеть, изолировав системы видеомониторинга от критических технологических сетей.
Кроме того, следует настроить мониторинг сетевой активности с помощью систем обнаружения вторжений (IDS, Intrusion Detection System). В частности, нужно обращать внимание на необычные GET-запросы к веб-интерфейсам подобных устройств. Администраторам также стоит регулярно проверять списки уязвимостей для всего парка программного и аппаратного обеспечения.
На текущий момент наличие публичных эксплойтов (exploit) для данной уязвимости уточняется. Однако, учитывая ее критический характер и относительную простоту эксплуатации, появление инструментов для атаки в ближайшее время весьма вероятно. Следовательно, окно для безопасного обновления может быть ограниченным.
Этот случай вновь подчеркивает важность регулярного обновления не только общесистемного, но и специализированного промышленного программного обеспечения. Многие организации ошибочно считают такие системы, как видеонаблюдение, периферийными и не уделяют должного внимания их безопасности. Между тем, подобные уязвимости могут стать отправной точкой для сложных целевых атак, в том числе со стороны APT-групп (Advanced Persistent Threat, УПГ - устойчивые продвинутые угрозы).
Таким образом, администраторам, использующим системы Longwatch Video Surveillance, необходимо безотлагательно обратиться к бюллетеню безопасности производителя и принять меры по устранению уязвимости. Своевременная установка обновлений остается наиболее эффективным способом защиты от подобных угроз. В противном случае, критически важные объекты могут столкнуться с серьезными операционными и репутационными рисками.
Ссылки
- https://bdu.fstec.ru/vul/2025-15403
- https://www.cve.org/CVERecord?id=CVE-2025-13658
- https://www.cisa.gov/news-events/ics-advisories/icsa-25-336-01
- https://ivcco.com/wp-content/uploads/Longwatch-Security-Bulletin-11-18-2025.pdf
