Hack Alerta

CISA inclui XSS em ScadaBR (CVE-2021-26829) na lista KEV; exploração em andamento

Por Redação Hack Alerta Publicado em 29/11/2025 10:00 Riscos e Ameaças Tempo de leitura: 4 min

A CISA adicionou CVE-2021-26829 (XSS em OpenPLC ScadaBR) ao seu catálogo KEV em 28/11/2025, informando exploração ativa. A falha em system_settings.shtm permite injeção de script no navegador de administradores, com risco a redes OT; há orientação de correção imediata e prazo de remediação para agências FCEB até 19/12/2025.

A atualização do catálogo Known Exploited Vulnerabilities (KEV) pela CISA trouxe de volta à atenção um XSS em OpenPLC ScadaBR que está sendo explorado ativamente, exigindo atenção imediata de equipes de infraestrutura e OT.

Descoberta e panorama

A Cybersecurity and Infrastructure Security Agency (CISA) inseriu, em 28 de novembro de 2025, a vulnerabilidade CVE-2021-26829 no catalogo Known Exploited Vulnerabilities (KEV), indicando atividade de exploração em ambiente real contra implementações de OpenPLC ScadaBR. A falha está localizada no componente system_settings.shtm do ScadaBR e é classificada sob CWE-79 (Improper Neutralization of Input During Web Page Generation).

Abordagem técnica / Vetor de exploração

Segundo o advisory consolidado pela CISA — reproduzido pela cobertura técnica — a falha é um Cross-Site Scripting (XSS) que permite a um atacante remoto injetar HTML ou scripts no contexto da página de configurações do sistema. A execução maliciosa ocorre quando um administrador ou usuário autenticado navega até a página comprometida, possibilitando ações como sequestro de sessão, roubo de credenciais ou alteração de parâmetros críticos do SCADA no contexto do navegador da vítima.

Mitigações apontadas

  • Aplicar patch ou correções fornecidas pelos mantenedores/fornecedores assim que disponíveis.
  • Revisar uso de componentes de terceiros para identificar instâncias do ScadaBR embutidas em outros produtos.
  • Se não for possível mitigar via atualização ou configuração, descontinuar o uso do componente afetado até que haja correção.

A CISA também indica a existência de um pull request no repositório Scada-LTS/Scada-LTS com um ajuste de código que trata a vulnerabilidade; as equipes com capacidade de auditoria de código podem revisar esse PR para entender as mudanças de implementação.

Impacto e alcance

OpenPLC e ScadaBR são usados em contextos de automação industrial e pesquisa em OT, o que amplia a superfície de ataque para ambientes de controle operacional. A CISA alerta que a vulnerabilidade pode existir em componentes open-source, bibliotecas de terceiros ou implementações proprietárias que incorporam o código vulnerável, tornando difícil mapear o escopo total sem inventário detalhado.

Para agências do Federal Civilian Executive Branch (FCEB) dos EUA, a Binding Operational Directive (BOD) 22-01 fixa um prazo de remediação obrigatória até 19 de dezembro de 2025, o que evidencia a prioridade operacional dada pela agência ao risco.

Limites das informações

As fontes indicam que a exploração está ocorrendo, mas não vinculam explicitamente essa atividade a campanhas de ransomware ou a um ator específico. As informações não detalham contagens de sistemas afetados, vetores de entrega além do XSS reflexivo/persistente na interface de configuração, nem versões específicas do ScadaBR afetadas. Onde há ausência de detalhe — por exemplo, lista de produtos proprietários que incorporem o componente vulnerável — o texto explicita essa lacuna.

Recomendações operacionais

Equipes de segurança OT e red teams devem priorizar:

  • Inventariar instâncias de ScadaBR/OpenPLC na rede e em imagens de máquina;
  • Aplicar correções ou mitigações temporárias (bloqueio de acesso à interface administrativa via controles de acesso, WAFs ou segmentação de rede);
  • Monitorar logs de administração e sessões web para sinais de injeção de script ou mudanças de configuração não autorizadas;
  • Revisar dependências de software para identificar bibliotecas compartilhadas que possam propagar a vulnerabilidade.

Repercussão regulatória

Embora a BOD citada se aplique especificamente a agências federais dos EUA, operadores de infraestrutura crítica e responsáveis por ambientes OT em outros países devem avaliar implicações regulatórias locais — incluindo requisitos de notificação sob leis de proteção de dados — caso haja comprometimento de sistemas que afete disponibilidade ou integridade de serviços.

O que falta saber

Permanece sem detalhe público o número de implantações exploradas, o perfil dos atacantes e se existem amostras de exploit amplamente reutilizáveis. As fontes também não descrevem variantes de exploração (por exemplo, persistente versus reflexivo) nem entregas via cadeias de terceiros além do escopo já mencionado.

Fontes

Relatório da Cyber Security News com referência ao comunicado da CISA e ao KEV; análise técnica e menção ao pull request no repositório Scada-LTS/Scada-LTS.

Baseado em publicação original de Cyber Security News
Tags: #scadabr #openplc #xss #cve-2021-26829 #ot #scada #cisa #kev #vulnerability
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar