CISA внесла в KEV эксплуатируемую XSS-уязвимость OpenPLC ScadaBR, которую использовали прокремлёвские хактивисты

Агентство по кибербезопасности и защите инфраструктуры США (CISA) обновило каталог активно эксплуатируемых уязвимостей (KEV), добавив туда брешь в OpenPLC ScadaBR — программе для диспетчерского управления промышленными объектами. Ведомство подтвердило, что уязвимость уже используется в реальных атаках.

Что за уязвимость

Речь идёт о CVE-2021-26829 (CVSS 5.4) — межсайтовом скриптинге (XSS) через файл system_settings.shtm. Проблема затрагивает:

  • OpenPLC ScadaBR до версии 1.12.4 на Windows;
  • OpenPLC ScadaBR до версии 0.9.1 на Linux.

Федеральным гражданским ведомствам США (FCEB) предписано устранить уязвимость до 19 декабря 2025 года.

Как её использовала группа TwoNet

Решение CISA появилось примерно через месяц после отчёта компании Forescout: в сентябре 2025 года прокремлёвская хактивистская группа TwoNet атаковала ловушку-приманку (honeypot) исследователей, приняв её за реальную станцию водоочистки.

По данным Forescout, от первоначального доступа до деструктивных действий у атакующих ушло около 26 часов. Злоумышленники вошли в систему по учётным данным по умолчанию, провели разведку и закрепление, создав новую учётную запись с именем «BARLATI». Затем они эксплуатировали CVE-2021-26829, чтобы изменить описание на странице входа HMI и вывести всплывающее сообщение «Hacked by Barlati», а также отключить логи и сигнализацию — не подозревая, что имеют дело с ловушкой.

«Атакующий не пытался повысить привилегии или скомпрометировать сам хост, сосредоточившись исключительно на веб-уровне HMI», — отметили в Forescout.

TwoNet заявила о себе на площадке в Telegram в январе 2025 года, изначально занимаясь DDoS-атаками, а затем расширив деятельность: атаки на промышленные системы, доксинг, а также коммерческие услуги вроде программ-вымогателей как сервиса (RaaS), найма хакеров и продажи первоначального доступа. Группа также заявляла о связях с другими хактивистскими брендами — CyberTroops и OverFlame. По оценке Forescout, «TwoNet сочетает старые веб-техники с громкими заявлениями об атаках на промышленные системы».

Отдельная кампания сканирования через OAST-инфраструктуру

Параллельно компания VulnCheck сообщила о долгоживущей точке OAST (Out-of-Band Application Security Testing) на инфраструктуре Google Cloud, которая используется для проведения кампании сканирования с фокусом на Бразилию. По данным сенсоров VulnCheck, зафиксировано около 1400 попыток эксплуатации, затрагивающих более 200 различных CVE.

«Большая часть активности напоминала стандартные шаблоны Nuclei, однако выбор хостинга, полезные нагрузки и региональная направленность атакующего не типичны для обычного использования OAST», — рассказал технический директор VulnCheck Джейкоб Бейнс (Jacob Baines).

Успешные попытки эксплуатации фиксируются HTTP-запросом на один из поддоменов атакующего — *.i-sh.detectors-testing.com. Обратные вызовы, связанные с этим доменом, отслеживаются как минимум с ноября 2024 года, то есть кампания идёт уже около года. Активность исходит из инфраструктуры Google Cloud, расположенной в США, что показывает, как злоумышленники используют легитимные облачные сервисы для маскировки под обычный сетевой трафик.

VulnCheck также обнаружила Java-класс TouchFile.class на IP-адресе 34.136.22.26, связанном с тем же OAST-доменом. Этот файл расширяет функциональность общедоступного эксплойта для уязвимости удалённого выполнения кода (RCE) в библиотеке Fastjson: он принимает команды и URL-параметры, выполняет их и отправляет исходящие HTTP-запросы по переданным адресам.

«Долгоживущая OAST-инфраструктура и устойчивая региональная направленность говорят о том, что это не разовые оппортунистические зондирования, а продолжительная кампания сканирования. Злоумышленники продолжают брать готовые инструменты вроде Nuclei и массово распылять эксплойты по интернету, чтобы быстро находить и компрометировать уязвимые ресурсы», — добавил Бейнс.

Вторая уязвимость OpenPLC ScadaBR в KEV

3 декабря 2025 года CISA добавила в каталог KEV ещё одну уязвимость OpenPLC ScadaBR — CVE-2021-26828 (CVSS 8.8). Ведомствам FCEB предписано устранить её согласно инструкциям производителя до 24 декабря 2025 года.

Как пояснила CISA, «OpenPLC ScadaBR содержит уязвимость неограниченной загрузки файла опасного типа, которая позволяет удалённым аутентифицированным пользователям загружать и выполнять произвольные JSP-файлы через view_edit.shtm».

Эксплуатацию CVE-2021-26828 также фиксировала Forescout в том же октябрьском отчёте 2025 года: компания зафиксировала «неопознанную активность» на своих honeypot-системах с 1 по 3 марта 2025 года со стороны двух IP-адресов, связанных с Россией. Один из них — 45.14.247.87 — «вошёл в HMI по учётным данным по умолчанию, затем эксплуатировал CVE-2021-26828 (произвольное включение файла через view_edit.shtm) для загрузки веб-шелла на Java», сообщили в компании. «Дальнейшие действия ограничились базовой разведкой хоста — перечислением файлов и процессов, без просмотра HMI и дополнительных шагов».

Источник: The Hacker News.