La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha actualizado su Catálogo de vulnerabilidades explotadas conocidas (KEV) para incluir fallas de seguridad que afectan a OpenPLC ScadaBR, citando evidencia de explotación activa.
La vulnerabilidad en cuestión es CVE-2021-26829 (puntuación CVSS: 5,4), una falla de secuencias de comandos entre sitios (XSS) que afecta a las versiones del software para Windows y Linux a través de system_settings.shtm. Afecta a las siguientes versiones:
OpenPLC ScadaBR ~ 1.12.4 en Windows OpenPLC ScadaBR ~ 0.9.1 en Linux
Los fallos de seguridad se añadieron al catálogo de KEV poco más de un mes después de que Fores Scout anunciara en septiembre de 2025 que había capturado a un grupo hacktivista prorruso conocido como TwoNet que apuntaba a los honeypots de la empresa, confundiéndolos con instalaciones de tratamiento de agua.
En el compromiso dirigido a la planta señuelo, los atacantes supuestamente pasaron del acceso inicial a un comportamiento destructivo en aproximadamente 26 horas, utilizando credenciales predeterminadas para obtener acceso inicial y luego creando una nueva cuenta de usuario llamada «BARLATI» para realizar actividades de reconocimiento y persistencia.
Luego, los atacantes aprovecharon CVE-2021-26829 para modificar la descripción de la página de inicio de sesión de HMI, mostrar un mensaje emergente que decía «Hackeado por Barlati» y cambiar la configuración del sistema para desactivar registros y alarmas sin darse cuenta de que estaban comprometiendo el sistema honeypot.
Cadena de ataque TwoNet
«Los atacantes se centraron únicamente en la capa de aplicación web de la HMI y no intentaron escalar privilegios ni explotar el host subyacente», dijo Forescout.
TwoNet comenzó a operar en Telegram a principios de enero de este año, centrándose inicialmente en ataques distribuidos de denegación de servicio (DDoS), pero desde entonces ha girado hacia una gama más amplia de actividades, que incluyen apuntar a sistemas industriales, filtrar información personal y servicios comerciales como ransomware como servicio (RaaS), piratería por contrato y corretaje de acceso temprano.
También afirma estar afiliado a otras marcas hacktivistas como CyberTroops y OverFlame. «TwoNet ahora combina estrategias web tradicionales con afirmaciones de alto perfil sobre sistemas industriales», añadió la empresa de ciberseguridad.
En vista de la explotación activa, las agencias del Poder Ejecutivo Civil Federal (FCEB) deben aplicar las correcciones necesarias antes del 19 de diciembre de 2025 para lograr una protección óptima.
El servicio OAST facilita las operaciones de explotación
El desarrollo se produce después de que VulnCheck anunciara que observó puntos finales de pruebas de seguridad de aplicaciones (OAST) fuera de banda de «duración prolongada» en Google Cloud que impulsaban operaciones de explotación centradas regionalmente. Los datos de los sensores de Internet desplegados por la empresa indican que esta actividad tiene como objetivo Brasil.
«Observamos aproximadamente 1.400 intentos de explotación en más de 200 CVE vinculados a esta infraestructura», dijo Jacob Baines, director de tecnología de VulnCheck. «Aunque gran parte de la actividad se parecía a la plantilla estándar de Nuclei, las opciones de alojamiento, las cargas útiles y la orientación geográfica de los atacantes no eran consistentes con el uso común de OAST».
Esta actividad implica explotar una falla y, si tiene éxito, emite una solicitud HTTP a uno de los subdominios OAST del atacante (‘*.i-sh.detectors-testing(.)com’). Las devoluciones de llamadas de OAST asociadas con este dominio se remontan al menos a noviembre de 2024, lo que sugiere que ha estado en curso durante aproximadamente un año.
Se descubrió que los intentos se originaron en la infraestructura de Google Cloud con sede en EE. UU. y demuestran cómo actores maliciosos están utilizando servicios de Internet legítimos como armas para evadir la detección y mezclarse con el tráfico normal de la red.
VulnCheck dijo que también identificó un archivo de clase Java (“TouchFile.class”) alojado en una dirección IP (“34.136.22(.)26”) vinculada al dominio OAST. Este archivo amplía el exploit disponible públicamente para la falla de ejecución remota de código Fastjson para aceptar comandos y parámetros de URL, ejecutar esos comandos y realizar una solicitud HTTP saliente a la URL pasada como entrada.
«La infraestructura OAST de larga duración y el enfoque regional consistente sugieren que los atacantes están realizando operaciones de escaneo continuo en lugar de sondeos oportunistas y de corta duración», dijo Baines. «Los anunciantes continúan adquiriendo herramientas disponibles en el mercado como Nuclei e implementando exploits en Internet para identificar y comprometer rápidamente los activos vulnerables».
Source link
