CISA緊急警報:SCADA系統關鍵漏洞的積極利用
美國網路安全和基礎設施安全局 (CISA)更新了其已知利用漏洞 ( KEV ) 目錄,將影響 OpenPLC ScadaBR 的安全漏洞納入其中,並指出有證據表明該漏洞已被積極利用。此舉突顯了工業控制系統(ICS)環境中,即使是評分不高的漏洞,一旦被駭客掌握,也可能帶來嚴重的運營中斷風險,促使聯邦機構須在指定期限內完成修復。
漏洞細節與受影響範圍
此次漏洞為CVE-2021-26829(CVSS 評分:5.4),這是一個跨站腳本(XSS) 漏洞,透過 system_settings.shtm 檔案影響 Windows 和 Linux 版本的軟體。受影響的版本如下:
- Windows 系統上的 OpenPLC ScadaBR 版本 1.12.4 及更早版本。
- Linux 系統上的 OpenPLC ScadaBR 版本 0.9.1 及更早版本。
此漏洞發生在 SCADA(監控和資料採集)系統的網路應用程式層,允許攻擊者在受害者瀏覽器中執行惡意腳本,進而實施數據竊取或介面破壞等行為。CISA的納入標誌著此缺陷已成為國家級資安風險,並要求相關機構必須立即實施修補。
駭客組織的實戰案例與戰術分析
在針對誘餌工廠的入侵中,攻擊者據稱在大約 26 小時內從最初的訪問轉移到了破壞性行動,他使用默認憑證獲得了初始訪問權限,然後通過創建名為“BARLATI”的新用戶帳戶進行偵察和持久化活動。攻擊者隨後利用 CVE-2021-26829 篡改 HMI 登入頁面描述,顯示「已被 Barlati 入侵」的彈出訊息,並修改系統設定以停用日誌和警報,卻不知道他們正在入侵蜜罐系統。 據網路安全公司Forescout的分析,此攻擊行動源自親俄駭客組織TwoNet,該組織最初專注於分散式阻斷服務(DDoS)攻擊,現已擴大至工業系統的攻擊目標,顯示駭客行動主義者正將傳統的網路戰術與引人注目的工業系統破壞聲明相結合。
長期掃描行動與OAST基礎設施的威脅擴展
此活動涉及利用漏洞,如果成功,則向攻擊者的某個 OAST 子網域(「*.i-sh.detectors-testing[.]com」)發出 HTTP 請求。與該網域關聯的OAST 回呼最早可追溯到 2024 年 11 月,顯示該活動已持續約一年。 VulnCheck首席技術長Jacob Baines表示:「OAST基礎設施長期運行,且攻擊目標始終集中在特定區域,這表明攻擊者正在進行持續的掃描,而非短暫的投機性探測。攻擊者不斷使用Nuclei等現成工具,並在互聯網上散佈漏洞利用程序,以快速識別和入侵易受攻擊的資產。」 研究指出,這些利用嘗試發源於美國的Google Cloud基礎設施,這表明不良行為者正在武器化合法的網際網路服務以規避偵測,並將其惡意流量與正常的網路流量混淆。
工業控制系統(ICS)的防護策略與修補急迫性
CVE-2021-26829的積極利用案例,再次對全球工業部門發出了警訊。該漏洞的利用方式專注於Web應用程式層而非底層主機,強調了人機介面(HMI)的Web應用安全是工業系統防護的關鍵環節。對於運行OpenPLC ScadaBR的組織而言,當務之急是立即修補至安全版本,並淘汰所有仍在使用的默認憑證。此外,應對所有面向網際網路的ICS資產進行持續監控,並警惕使用公共雲服務進行偽裝的OAST掃描活動,以有效防範此類持續且有針對性的威脅。
資料來源:https://thehackernews.com/2025/11/cisa-adds-actively-exploited-xss-bug.html