security-265130_1280.jpg

XSS no ScadaBR entra no catálogo KEV

A CISA adicionou a vulnerabilidade CVE-2021-26829, um XSS armazenado no OpenPLC ScadaBR, ao catálogo de falhas conhecidamente exploradas (KEV), após evidências de uso em ataques reais. A falha afeta o ScadaBR até a versão 1.12.4 no Windows e 0.9.1 no Linux, permitindo injeção de JavaScript via página system_settings.shtm.

Como a vulnerabilidade funciona e foi explorada

O XSS armazenado permite que um atacante injete código que será executado no navegador de qualquer usuário que acesse a interface do ScadaBR, possibilitando roubo de sessão, defacement e outras ações via browser. Uma PoC antiga já demonstrava, por exemplo, a exibição de notificações em todas as páginas acessadas pelo usuário.

Em um honeypot OT/ICS monitorado pela Forescout (Vedere Labs), um grupo hacktivista alinhado à Rússia, chamado TwoNet, conseguiu entrar usando credenciais padrão de administrador e depois explorou a CVE-2021-26829 para exibir mensagens a visitantes e manipular a HMI de uma planta de tratamento de água simulada. O incidente levou à inclusão formal da falha no KEV da CISA, indicando risco relevante também para ambientes federais dos EUA.

Patching e versões afetadas

Uma correção para o XSS foi disponibilizada pela comunidade do ScadaBR em meados de 2021, por meio de ajustes de validação/escape na página de configurações. No entanto, muitos ambientes OT permanecem sem atualização, mantendo versões vulneráveis em produção anos depois, o que explica a eficácia dos ataques recentes.

Risco para ICS/OT

Como o ScadaBR é usado para monitorar e controlar CLPs em sistemas industriais, a exploração dessa falha pode abrir caminho para:

  • Roubo ou sequestro de sessões de operadores e administradores.
  • Defacement de telas de HMI e envio de mensagens políticas/ativistas (caso TwoNet).
  • Passos adicionais rumo a manipulação de processos ou implantação de outros payloads através da interface web.

Recomendações imediatas

  • Atualizar o ScadaBR para versão corrigida ou aplicar os patches/documentação de mitigação indicados no fórum oficial e nos avisos de segurança.
  • Remover credenciais padrão e aplicar hardening de autenticação (senhas fortes, segmentação de rede, VPN/zero trust para acesso remoto).
  • Restringir o acesso HTTP/HTTPS ao ScadaBR a redes internas e estações de operação, evitando exposição direta à internet.
  • Monitorar logs de acesso à interface web em busca de parâmetros suspeitos e sinais de injeção de script ou mensagens inesperadas na HMI.