A Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos (CISA) atualizou seu catálogo Known Exploited Vulnerabilities (KEV) para incluir uma vulnerabilidade que afeta o OpenPLC ScadaBR, após indícios de exploração ativa dessa falha.
Trata-se da
CVE-2021-26829
, com pontuação 5,4 na métrica CVSS, uma falha de cross-site scripting (XSS) presente nas versões do software para Windows e Linux, especificamente no arquivo system_settings.shtm.
As versões afetadas são:
- OpenPLC ScadaBR até a 1.12.4 no Windows
- OpenPLC ScadaBR até a 0.9.1 no Linux
A inclusão dessa vulnerabilidade no KEV ocorre pouco mais de um mês após a empresa Forescout identificar um grupo hacktivista pró-Rússia, chamado TwoNet, tentando explorar um honeypot que simulava uma estação de tratamento de água, em setembro de 2025.
Nesse ataque à planta fictícia, o invasor avançou do acesso inicial a ações disruptivas em cerca de 26 horas.
O acesso foi obtido com credenciais padrão; em seguida, houve reconhecimento do sistema e criação de uma nova conta de usuário, nomeada “BARLATI”, para garantir persistência.
Explorando a falha
CVE-2021-26829
, os atacantes modificaram a descrição da página de login do HMI (interface homem-máquina), exibindo uma mensagem pop-up com o texto “Hacked by Barlati”.
Além disso, alteraram configurações para desativar logs e alarmes, sem saber que estavam dentro de um sistema honeypot.
Segundo a Forescout, “o atacante não buscou escalonamento de privilégios nem explorou o sistema operacional subjacente, focando exclusivamente na camada da aplicação web do HMI”.
O grupo TwoNet iniciou suas operações no Telegram em janeiro, inicialmente com ataques de negação de serviço distribuída (DDoS).
Posteriormente, ampliou seu escopo para incluir alvos em sistemas industriais, doxxing e serviços comerciais como ransomware-as-a-service (RaaS), hack-for-hire e intermediação de acessos iniciais.
Eles também alegam conexões com outros grupos hacktivistas, como CyberTroops e OverFlame.
A Forescout destaca que "o TwoNet combina táticas tradicionais na web com reivindicações impactantes relacionadas a sistemas industriais”.
Diante da exploração ativa, agências do Executivo Federal Civil dos EUA (FCEB) devem aplicar as correções necessárias até 19 de dezembro de 2025 para garantir proteção adequada.
### Exploração via serviço OAST na Google Cloud
Em outro alerta, a empresa VulnCheck identificou uma operação de exploração regionalmente focada, coordenada a partir de um endpoint de Out-of-Band Application Security Testing (OAST) hospedado na Google Cloud.
Dados coletados por sensores da empresa indicam que a atividade tem como alvo o Brasil.
“Foram detectadas cerca de 1.400 tentativas de exploração envolvendo mais de 200 CVEs associadas a essa infraestrutura”, afirmou Jacob Baines, CTO da VulnCheck.
Ele ressaltou que, embora a maioria dos ataques tenha utilizado templates comuns do Nuclei, os alvos, as cargas úteis e a regionalização da operação destoavam do uso típico do OAST.
O modus operandi consiste em explorar a vulnerabilidade e, se a exploração for bem-sucedida, enviar uma requisição HTTP para um subdomínio controlado pelos atacantes (“*.i-sh.detectors-testing[.]com”).
Callbacks de OAST vinculados a esse domínio tiveram início pelo menos em novembro de 2024, indicando que a operação já dura cerca de um ano.
As tentativas de ataque partem de infraestrutura Google Cloud nos EUA, demonstrando como invasores utilizam serviços legítimos para dificultar a detecção, misturando-se ao tráfego normal da rede.
Além disso, a VulnCheck encontrou um arquivo de classe Java, “TouchFile.class”, no IP “34.136.22[.]26”, associado ao domínio OAST.
Esse código amplia um exploit público para execução remota de código via Fastjson, aceitando comandos e URLs para execução e requisições HTTP externas.
Baines conclui: “A longa duração dessa infraestrutura OAST e o foco regional constante indicam um ator realizando um esforço contínuo de varredura, e não apenas ataques esporádicos.
Os atacantes seguem usando ferramentas prontas, como Nuclei, para disseminar exploits rapidamente e comprometer sistemas vulneráveis.”
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...