CISA Adds Actively Exploited XSS Bug CVE-2021-26829 in OpenPLC ScadaBR to KEV

Alerte sur une faille activement exploitée dans OpenPLC ScadaBR

L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté une vulnérabilité critique dans le logiciel de contrôle industriel OpenPLC ScadaBR à son catalogue des vulnérabilités connues et exploitées (KEV), en raison de preuves d’exploitation active.

Points clés:

• La CISA a inclus la CVE-2021-26829 dans son catalogue KEV.
• Cette faille affecte les versions de OpenPLC ScadaBR jusqu’à la version 1.12.4 sur Windows et jusqu’à la version 0.9.1 sur Linux.
• Un groupe hacktiviste pro-russe, connu sous le nom de TwoNet, est suspecté d’avoir exploité cette vulnérabilité.
• L’exploitation observée visait à défacer la page de connexion de l’interface homme-machine (IHM) et à désactiver les journaux et alarmes, sans tenter d’escalader les privilèges sur le système sous-jacent.
• L’article mentionne également une infrastructure d’analyse de sécurité hors bande (OAST) de longue date, hébergée sur Google Cloud, qui semble être utilisée pour des opérations d’exploitation ciblées, notamment au Brésil. Cette infrastructure utilise des services légitimes pour échapper à la détection.

Vulnérabilité identifiée:

• CVE-2021-26829: Vulnérabilité de type Cross-Site Scripting (XSS), affectant le fichier system_settings.shtm. Le score CVSS est de 5.4.

Recommandations:

• Les agences du pouvoir exécutif fédéral civil (FCEB) sont tenues d’appliquer les correctifs nécessaires avant le 19 décembre 2025.
• Il est fortement recommandé aux utilisateurs d’OpenPLC ScadaBR de mettre à jour leurs systèmes vers des versions corrigées dès que possible afin de se prémunir contre cette menace activement exploitée.

Source