CISA警告:OpenPLC ScadaBR文件上传漏洞已在攻击中被利用
CISA(美国网络安全和基础设施安全局)已将一个关键漏洞添加到其“已知可利用漏洞”目录中,向各组织发出关于OpenPLC ScadaBR系统中存在危险文件上传漏洞的警告。
该漏洞允许远程经过身份验证的用户通过 view_edit.shtm 接口上传并执行任意的JSP文件,这对工业控制系统环境构成了重大风险。
OpenPLC ScadaBR文件上传漏洞详情
OpenPLC ScadaBR是一个基于Web的工业自动化平台,其包含一个被归类为CWE-434(无限制上传危险类型文件)的无限制文件上传漏洞。此弱点使得经过身份验证的攻击者能够绕过安全控制,将恶意代码直接注入易受攻击的系统。
上传和执行JSP文件的能力为攻击者提供了持久访问权限,并使其能够在工业环境中执行代码。
| 字段 | 详情 |
|---|---|
| CVE ID | CVE-2021-26828 |
| 漏洞类型 | 无限制上传危险类型文件 |
| 受影响产品 | OpenPLC ScadaBR |
| 攻击媒介 | 基于网络,远程 |
| CVSS 严重等级 | 严重 |
| 影响 | 通过JSP文件上传实现远程代码执行(RCE),可能破坏关键操作或促进在工业网络内的横向移动。 |
根据CISA设定的截止日期,各组织必须在2025年12月24日之前解决此漏洞。联邦机构和关键基础设施运营商应优先考虑立即采取补救措施。
CISA建议采取以下三个主要行动方案:第一,按照制造商的说明应用供应商提供的缓解措施。第二,对于基于云的部署,遵循《具有约束力的操作指令》(BOD 22-01)中概述的指南。第三,如果仍然无法获得足够的缓解措施,则停止使用OpenPLC ScadaBR。
虽然CISA尚未确认此漏洞是否在活跃的勒索软件活动中被利用,但该漏洞的性质使其对以工业控制系统为目标的威胁行为者特别具有吸引力。工业自动化平台中的文件上传漏洞代表了系统被攻陷的直接途径,尤其是在安全监控可能有限的环境中。三周的修复窗口突显了威胁形势的严重性。
建议措施
运行OpenPLC ScadaBR的组织应立即清点受影响的系统并验证其当前补丁状态。安全团队应实施网络分段以限制对管理界面的访问。在可能的情况下,通过防火墙规则限制文件上传,并加强对可疑JSP文件上传的监控。此外,组织应审查访问日志以寻找被利用的证据,并与他们的工业自动化供应商协调,以确认补丁的可用性和部署程序。
此次CISA警报突显了工业控制系统中持续存在的风险,并强调了在操作环境中保持当前补丁管理实践的重要性。