Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

CISA го додава активно експлоатираниот XSS-баг CVE-2021-26829 во OpenPLC ScadaBR во KEV-листата

Објавено: 01.12.2025

Американската Агенција за сајбер-безбедност и безбедност на инфраструктурата (CISA) ја ажурираше својата листа Known Exploited Vulnerabilities (KEV) за да вклучи безбедносен пропуст што влијае на OpenPLC ScadaBR, повикувајќи се на докази за активна експлоатација.

Угроженоста е означена како CVE-2021-26829 (CVSS оцена: 5.4), cross-site scripting (XSS) пропуст кој ги погодува Windows и Linux верзиите на софтверот преку датотеката system_settings.shtm. Ги засега следниве верзии:

  • OpenPLC ScadaBR до 1.12.4 на Windows
  • OpenPLC ScadaBR до 0.9.1 на Linux

Додавањето на овој пропуст во KEV-листата доаѓа нешто повеќе од еден месец откако Forescout соопшти дека фатил про-руска хактивистичка група позната како TwoNet, која во септември 2025 погрешно го таргетирала нивниот honeypot мислејќи дека е постројка за преработка на вода.

Во компромитацијата насочена кон мамечката постројка, се вели дека напаѓачот се движел од почетен пристап до деструктивни активности за околу 26 часа, користејќи стандардни лозинки за да добие пристап, а потоа спроведувајќи извидување и активности за перзистентност со креирање нов кориснички налог со име “BARLATI.”

Напаѓачите потоа го експлоатирале CVE-2021-26829 за да ја изменат HMI login-страницата и да прикажат pop-up порака “Hacked by Barlati,” како и да ги изменат системските поставки за да ги оневозможат логовите и алармите — без да знаат дека навлегуваат во honeypot систем.

Синџир на напад на TwoNet

„Напаѓачот не се обиде да изврши привилегиска ескалација или експлоатација на основниот хост, туку се фокусираше исклучиво на веб-апликативниот слој на HMI,“ изјави Forescout.

TwoNet ги започна своите операции на Telegram во јануари оваа година, првично насочувајќи се кон distributed denial-of-service (DDoS) напади, пред да премине на поширок спектар активности, вклучувајќи таргетирање индустриски системи, doxxing и комерцијални услуги како ransomware-as-a-service (RaaS), hack-for-hire и посредување со почетен пристап.

Исто така тврдел дека е поврзан со други хактивистички групи како CyberTroops и OverFlame. „TwoNet сега ги меша старите веб-тактики со маркетиншки привлечни тврдења околу индустриски системи,“ додаде компанијата за сајбер-безбедност.

Поради активната експлоатација, федералните цивилни извршни агенции (FCEB) мора да ги применат потребните поправки до 19 декември 2025 за оптимална заштита.

OAST сервисот ја поттикнува експлоитациската операција

Развојот доаѓа откако VulnCheck соопшти дека забележал „долготраен“ Out-of-Band Application Security Testing (OAST) крајна точка на Google Cloud која управува регионално насочена експлоатациска операција. Податоци од интернет-сензори поставени од компанијата покажуваат дека активноста е насочена кон Бразил.

„Забележавме околу 1.400 обиди за експлоатација што опфаќаат повеќе од 200 CVE ранливости поврзани со оваа инфраструктура,“ изјави Џејкоб Бејнс, CTO на VulnCheck. „Иако поголемиот дел од активноста наликуваше на стандардни Nuclei шаблони, изборот на хостинг, payload-ите и регионалното таргетирање на напаѓачот не се совпаѓаа со типичната употреба на OAST.“

Активноста вклучува експлоатација на ранливост и, ако таа е успешна, испраќање HTTP-барање до еден од OAST поддомените на напаѓачот („*.i-sh.detectors-testing[.]com“). OAST callback-ите поврзани со доменот датираат најмалку од ноември 2024 година, што укажува дека операцијата трае приближно една година.

Утврдено е дека обидите потекнуваат од инфраструктура на Google Cloud со седиште во САД, што покажува како злонамерни актери злоупотребуваат легитимни интернет-сервиси за да избегнат детекција и да се вклопат во нормален мрежен сообраќај.

VulnCheck исто така идентификувал Java class датотека („TouchFile.class“) хостирана на IP адреса („34.136.22[.]26“) поврзана со OAST доменот, која се надоврзува на јавно достапен exploit за Fastjson remote code execution ранливост за да прифаќа команди и URL параметри, да ги извршува тие команди и да испраќа излезни HTTP-барања до URL-адресите што се внесени како параметри.

„Долготрајната OAST инфраструктура и доследниот регионален фокус сугерираат актер кој спроведува континуирана операција за скенирање, а не краткотрајни опортунистички напади,“ додаде Бејнс. „Напаѓачите продолжуваат да користат готови алатки како Nuclei и да распрскуваат експлоити низ интернетот за брзо да ги идентификуваат и компромитираат ранливите системи.“

Извори:

  • The Hacker News – CISA Adds Actively Exploited XSS Bug CVE-2021-26829 in OpenPLC ScadaBR to KEV The Hacker News