U.S. CISA adds an OpenPLC ScadaBR flaw to its Known Exploited Vulnerabilities catalog

美国网络安全和基础设施安全局（CISA）将OpenPLC ScadaBR的一个漏洞添加至其已知被利用漏洞（KEV）目录中。

美国网络安全和基础设施安全局（CISA）已将OpenPLC ScadaBR的一个漏洞（编号为CVE-2021-26829，CVSS评分为5.4）添加至其已知被利用漏洞（KEV）目录。

该漏洞是一个跨站脚本（XSS）漏洞，通过system_settings.shtm文件影响Windows和Linux版本。该漏洞影响Windows上1.12.4及之前版本的OpenPLC ScadaBR，以及Linux上0.9.1及之前版本的OpenPLC ScadaBR。

2025年9月，亲俄罗斯的黑客组织TwoNet攻击了网络安全公司Forescout运营的一个ICS/OT蜜罐，误以为是一个水处理厂。攻击者使用默认凭据获取了目标系统的访问权限，然后创建了一个名为“BARLATI”的账户，并利用CVE-2021-26829漏洞篡改了HMI登录页面，同时禁用了日志和警报功能。 Forescout写道：“攻击者随后创建了一个名为‘BARLATI’的新用户账户。使用该账户的首次登录发生在下午3:20——大约是在初次入侵七小时后。最后一次登录发生在第二天上午11:19。在此期间，攻击者执行了四次篡改和破坏操作：

篡改：利用CVE-2021-26829将HMI登录页面描述更改为：[<]script>alert("HACKED BY BARLATI, FUCK")</script>，导致每次访问该页面时都会弹出一个包含脏话的警告框。”

他们只关注了Web层面，并未提升权限。TwoNet自1月份开始活跃，已从进行DDoS攻击发展为针对工业系统、人肉搜索、并提供勒索软件即服务（RaaS）、雇佣黑客和初始访问服务，同时宣称与CyberTroops和OverFlame组织有关联。

根据《22-01号约束性操作指令：降低已知被利用漏洞的重大风险》，联邦民事行政部门机构必须在截止日期前修复已识别的漏洞，以保护其网络免受利用该目录中漏洞的攻击。

专家还建议私营机构审查该目录，并修复其基础设施中的相关漏洞。

CISA命令联邦机构在2025年12月19日之前修复这些漏洞。