A CISA adicionou a vulnerabilidade CVE-2021-26829, um XSS armazenado no OpenPLC ScadaBR, ao catálogo de falhas conhecidamente exploradas (KEV), após evidências de uso em ataques reais. Uma falha relacionada ao ScadaBR até a versão 1.12.4 no Windows e 0.9.1 no Linux, permitindo a injeção de JavaScript via página system_settings.shtm.
Como a vulnerabilidade funciona e foi explorada
O XSS armazenado permite que um caçador injete um código que será executado no navegador de qualquer usuário que acesse a interface do ScadaBR, possibilitando roubo de sessão, defacement e outras ações via navegador. Uma PoC antiga já demonstrou, por exemplo, a exibição de notificações em todas as páginas acessadas pelo usuário.
Em um honeypot OT/ICS monitorado pela Forescout (Vedere Labs), um grupo hacktivista localizado na Rússia, chamado TwoNet, conseguiu entrar usando credenciais padrão de administrador e depois explorou o CVE-2021-26829 para exibir mensagens aos visitantes e manipular a HMI de uma planta de tratamento de água simulada. O incidente levou à inclusão formal da falha no KEV da CISA, trazendo risco relevante também para ambientes federais dos EUA.
Patching e atualizações afetadas
Uma Correção para o XSS foi disponibilizado pela comunidade do ScadaBR em meados de 2021, por meio de ajustes de validação/escape na página de configurações. No entanto, muitos ambientes OT permanecem sem atualização, mantendo versões vulneráveis em produção anos depois, o que explica a eficácia dos ataques recentes.
Risco para ICS/OT
Como o ScadaBR é usado para monitorar e controlar CLPs em sistemas industriais, a exploração dessa falha pode abrir caminho para:
- Roubo ou seqüestro de sessões de operadores e administradores.
- Defacement de telas de HMI e envio de mensagens políticas/ativistas (caso TwoNet).
- Passos adicionais Rumo à manipulação de processos ou implantação de outros payloads através da interface web.
Recomendações imediatas
- Atualizar o ScadaBR para versão corrigida ou aplicar os patches/documentação de mitigação indicados no fórum oficial e nos avisos de segurança.
- Remove credenciais padrão e aplica endurecimento de autenticação (senhas fortes, segmentação de rede, VPN/zero trust para acesso remoto).
- Restringir o acesso HTTP/HTTPS ao ScadaBR a redes internas e estações de operação, evitando exposição direta à internet.
- Monitorar logs de acesso à interface web em busca de parâmetros suspeitos e sinais de injeção de script ou mensagens inesperadas na HMI.
