CISA将OpenPLC ScadaBR中被活跃利用的XSS漏洞CVE-2021-26829加入KEV目录

美国网络安全和基础设施安全局（CISA）已更新其已知被利用漏洞（KEV）目录，纳入了一个影响OpenPLC ScadaBR的安全漏洞，并指出有证据表明该漏洞正被积极利用。

相关漏洞是CVE-2021-26829（CVSS评分：5.4），这是一个跨站脚本（XSS）漏洞，通过system_settings.shtm影响该软件的Windows和Linux版本。它影响以下版本：

• Windows上的OpenPLC ScadaBR 1.12.4及更早版本
• Linux上的OpenPLC ScadaBR 0.9.1及更早版本

在Forescout表示其于2025年9月捕获到一个名为TwoNet的亲俄黑客活动组织将其蜜罐误认为水处理设施并进行攻击的一个多月后，该安全缺陷被添加到了KEV目录中。

在对诱饵工厂的攻击中，据称威胁行为者从初始访问到破坏性行动大约用了26小时，他们使用默认凭证获得初步立足点，随后通过创建一个名为“BARLATI”的新用户帐户来进行侦察和持久化活动。

攻击者然后利用CVE-2021-26829篡改了HMI登录页面的描述，显示弹出消息“被Barlati入侵”，并修改系统设置以禁用日志和警报，殊不知他们入侵的是一个蜜罐系统。

TwoNet攻击链

“攻击者没有尝试特权提升或利用底层主机，而是完全专注于HMI的Web应用层，”Forescout表示。

TwoNet于今年1月初在Telegram上开始其活动，最初专注于分布式拒绝服务（DDoS）攻击，之后转向更广泛的活动，包括针对工业系统、人肉搜索以及勒索软件即服务（RaaS）、雇佣黑客和初始访问代理等商业服务。

该组织还声称与其他黑客活动品牌如CyberTroops和OverFlame有关联。这家网络安全公司补充道：“TwoNet现在将传统的网络战术与围绕工业系统的引人注目的声明相结合。”

鉴于该漏洞被积极利用，美国联邦民事行政部门（FCEB）机构需在2025年12月19日前应用必要的修复程序以获得最佳保护。

OAST服务助长漏洞利用活动

与此同时，VulnCheck表示，其观察到一个位于谷歌云上的“长期运行”带外应用安全测试（OAST）端点，正在驱动一场针对特定区域的漏洞利用活动。该公司部署的互联网传感器数据显示，该活动针对巴西。

“我们观察到大约1400次漏洞利用尝试，涉及与此基础设施相关的200多个CVE，”VulnCheck首席技术官Jacob Baines说。“虽然大部分活动类似于标准的Nuclei模板，但攻击者的托管选择、有效载荷和区域针对性并不符合典型的OAST用途。”

该活动涉及利用一个漏洞，如果成功，则向攻击者的一个OAST子域（*.i-sh.detectors-testing[.]com）发出HTTP请求。与该域名相关的OAST回调至少可以追溯到2024年11月，表明该活动已持续了大约一年。

这些尝试被发现源自位于美国的谷歌云基础设施，说明了恶意行为者如何利用合法的互联网服务来逃避检测并混入正常的网络流量中。

VulnCheck表示，他们还识别出一个托管在与OAST域名相关的IP地址（34.136.22[.]26）上的Java类文件（"TouchFile.class"），该文件扩展了一个公开可用的针对Fastjson远程代码执行漏洞的利用程序，使其能够接受命令和URL参数，执行这些命令并向作为输入传递的URL发出出站HTTP请求。

“这个长期存在的OAST基础设施和一贯的区域重点表明，攻击者正在进行持续的扫描努力，而不是短暂的投机性探测，”Baines说。“攻击者继续使用像Nuclei这样的现成工具，并在互联网上大规模撒网式利用漏洞，以快速识别和入侵易受攻击的资产。”