概要
米サイバーセキュリティ・社会基盤安全保障庁(CISA)は、Industrial Video & Control社のビデオ監視・モニタリングシステム「Longwatch」に存在する、重大なリモートコード実行(RCE)の脆弱性について警告を発しました。この脆弱性は、未認証の攻撃者がSYSTEMレベルの権限で任意のコードを実行できるようにするもので、影響を受ける組織にとって著しいリスクをもたらします。
脆弱性の詳細
「CVE-2025-13658」と識別されたこの脆弱性は、不適切なコード生成制御に起因し、未認証のHTTP GETリクエストを通じて公開されたエンドポイントを悪用することで悪用されます。
- CVE ID: CVE-2025-13658
- CVSS v3.1 スコア: 9.8
- CVSS v4 スコア: 9.3
- 深刻度: クリティカル
このセキュリティ上の欠陥は、Longwatchのバージョン6.309から6.334に影響を与えます。認証が不要で、攻撃の複雑性が低く、リモートから悪用可能であるため、特に危険です。悪用に成功すると、攻撃者はSYSTEMレベルの昇格された権限でリモートコード実行能力を獲得し、監視インフラ全体を潜在的に危険にさらす可能性があります。
本脆弱性は、エネルギー、水、廃水システムを含む重要インフラ分野に影響を及ぼし、世界中で展開されています。影響を受けるバージョンではコード署名や実行制御が欠如しているため、攻撃者は適切な検証なしに悪意のあるコードを実行でき、システム全体の侵害につながります。
推奨される対策
Industrial Video & Controlは、ユーザーに対し、直ちにLongwatchバージョン6.335以降へアップグレードするよう強く推奨しています。CISAは、組織に対して以下の対策を助言しています。
- ネットワーク露出の最小化。
- 制御システムをファイアウォールの背後に隔離。
- 更新されたVPNソリューションを通じたセキュアなリモートアクセスの実装。
- 防御策を展開する前に、徹底的な影響分析を実施すること。
情報開示と現状
本脆弱性は、懸念を抱いたOTエンジニアによって責任を持って開示されました。現時点では、CISAに対し、公開された悪用に関する報告は寄せられていません。