La vulnerabilidad CVE-2021-26829, corregida en 2021 pero aún presente en numerosas instalaciones, fue utilizada para manipular un HMI industrial simulado, lo que llevó a la Agencia de Ciberseguridad de los Estados Unidos (CISA) a incorporarla en su catálogo de fallas explotadas activamente.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) amplió su catálogo de vulnerabilidades explotadas (KEV) con un fallo antiguo de OpenPLC ScadaBR que, pese a estar parcheado desde 2021, sigue siendo aprovechado por actores maliciosos.
La debilidad, identificada como CVE-2021-26829, es una falla de cross-site scripting en el archivo system_settings.shtm que afecta tanto a versiones de Windows como de Linux. CISA determinó que existe evidencia suficiente de explotación real y exigió a las agencias federales en ese país a corregirla antes del próximo 19 de diciembre.
El aviso llega después de que la firma de ciberseguridad Forescout documentara un ataque contra uno de sus honeypots ICS/OT, diseñado para imitar una planta de tratamiento de agua. Los atacantes pertenecían al grupo TwoNet, un colectivo hacktivista de orientación pro-rusa activo desde enero, que inicialmente se dedicaba a campañas de DDoS pero que amplió sus tácticas hacia sistemas industriales, doxxing y servicios comerciales como ransomware-as-a-service (RaaS).
En el incidente documentado, los intrusos usaron credenciales por defecto para obtener acceso básico y luego crearon un usuario llamado “BARLATI” para mantener persistencia. Según Forescout, “el primer inicio de sesión con esta cuenta ocurrió a las 3:20 PM… el último, al día siguiente a las 11:19 AM”.
Durante esas horas, los atacantes manipularon la interfaz HMI, modificaron parámetros del sistema y deshabilitaron funciones de registro y alarmas. También explotaron el CVE-2021-26829 para cambiar la descripción del inicio de sesión del HMI, lo que provocaba un mensaje emergente con la frase “Hacked by Barlati” cada vez que un usuario accedía. Forescout destacó que “el atacante no intentó escalar privilegios ni explotar el host subyacente”, lo que revela un nivel técnico limitado y un foco exclusivo en la capa web.
Aunque el objetivo era un entorno simulado, el incidente demuestra que la vulnerabilidad sigue siendo atractiva para actores que buscan acciones de impacto simbólico en infraestructuras críticas. Las fallas XSS en entornos industriales pueden facilitar no solo defacement, sino también el secuestro de sesión, la modificación de parámetros operativos o puertas de entrada para ataques más avanzados. En 2021, ya se había demostrado que CVE-2021-26829 podía permitir la ejecución de JavaScript arbitrario simplemente introduciendo código malicioso en la sección de configuración del sistema.
La actualización del KEV también coincide con hallazgos recientes de VulnCheck, que identificó una infraestructura de pruebas OAST activa desde 2024, utilizada para lanzar miles de intentos de explotación contra más de 200 fallas, con un foco particular en Brasil. “Observamos unos 1.400 intentos vinculados a este nodo”, explicaron desde la firma, destacando que el tráfico provenía de Google Cloud y que los atacantes adaptaron exploits públicos -como un archivo Java que extendía un ataque contra Fastjson- para automatizar la ejecución remota de comandos.
CISA hizo un llamado general a las empresas privadas para que revisen la presencia de ScadaBR en sus entornos y asegurarse de que no operen con versiones afectadas.