La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha actualizado su catálogo de vulnerabilidades explotadas conocidas (KEV) para incluir una falla de seguridad que afecta a OpenPLC ScadaBR, citando evidencia de explotación activa.
La vulnerabilidad en cuestión es CVE-2021-26829 (puntuación CVSS: 5,4), una falla de secuencias de comandos entre sitios (XSS) que afecta a las versiones del software para Windows y Linux a través de system_settings.shtm. Afecta a las siguientes versiones:
- OpenPLC ScadaBR hasta 1.12.4 en Windows
- OpenPLC ScadaBR hasta 0.9.1 en Linux
La adición del defecto de seguridad al catálogo de KEV se produce poco más de un mes después de que Forescout dijera que había descubierto a un grupo hacktivista prorruso conocido como TwoNet apuntando a su honeypot en septiembre de 2025, confundiéndolo con una instalación de tratamiento de agua.
En el compromiso dirigido a la planta señuelo, se dice que el actor de la amenaza pasó del acceso inicial a la acción disruptiva en aproximadamente 26 horas, utilizando credenciales predeterminadas para obtener el acceso inicial, seguido de llevar a cabo actividades de reconocimiento y persistencia mediante la creación de una nueva cuenta de usuario llamada «BARLATI».
Luego, los atacantes procedieron a explotar CVE-2021-26829 para desfigurar la descripción de la página de inicio de sesión de HMI y mostrar un mensaje emergente «Hackeado por Barlati» y modificar la configuración del sistema para deshabilitar registros y alarmas sin saber que estaban violando un sistema honeypot.
 |
| Cadena de ataque TwoNet |
«El atacante no intentó escalar privilegios ni explotar el host subyacente, centrándose exclusivamente en la capa de aplicación web de la HMI», dijo Forescout.
TwoNet comenzó sus operaciones en Telegram a principios de enero, centrándose inicialmente en ataques distribuidos de denegación de servicio (DDoS), antes de pasar a un conjunto más amplio de actividades, incluido el ataque a sistemas industriales, doxxing y ofertas comerciales como ransomware-as-a-service (RaaS), hack-for-hire y intermediación de acceso inicial.
También afirmó estar afiliado a otras marcas hacktivistas como CyberTroops y OverFlame. «TwoNet ahora combina tácticas web heredadas con afirmaciones que llaman la atención sobre sistemas industriales», añadió la empresa de ciberseguridad.
A la luz de la explotación activa, las agencias del Poder Ejecutivo Civil Federal (FCEB) deben aplicar las correcciones necesarias antes del 19 de diciembre de 2025 para una protección óptima.
El servicio OAST impulsa la operación de explotación
El desarrollo se produce cuando VulnCheck dijo que observó un punto final de prueba de seguridad de aplicaciones fuera de banda (OAST) de «larga duración» en Google Cloud que impulsaba una operación de explotación centrada en la región. Los datos de los sensores de Internet desplegados por la firma muestran que la actividad está dirigida a Brasil.
«Observamos aproximadamente 1.400 intentos de explotación que abarcan más de 200 CVE vinculados a esta infraestructura», dijo Jacob Baines, CTO de VulnCheck. «Si bien la mayor parte de la actividad se parecía a las plantillas estándar de Nuclei, las opciones de alojamiento, las cargas útiles y la orientación regional del atacante no se alineaban con el uso típico de OAST».
La actividad implica explotar una falla y, si tiene éxito, emitir una solicitud HTTP a uno de los subdominios OAST del atacante («*.i-sh.detectors-testing(.)com»). Las devoluciones de llamada de OAST asociadas con el dominio se remontan al menos a noviembre de 2024, lo que sugiere que ha estado en curso durante aproximadamente un año.
Se ha descubierto que los intentos emanan de la infraestructura de Google Cloud con sede en EE. UU., lo que ilustra cómo los malos actores están utilizando como armas servicios de Internet legítimos para evadir la detección y mezclarse con el tráfico normal de la red.
VulnCheck dijo que también identificó un archivo de clase Java («TouchFile.class») alojado en la dirección IP («34.136.22(.)26») vinculado al dominio OAST que expande un exploit disponible públicamente para una falla de ejecución remota de código Fastjson para aceptar comandos y parámetros de URL, ejecutar esos comandos y realizar solicitudes HTTP salientes a las URL pasadas como entrada.
«La infraestructura OAST de larga duración y el enfoque regional consistente sugieren un actor que está ejecutando un esfuerzo de escaneo sostenido en lugar de investigaciones oportunistas de corta duración», dijo Baines. «Los atacantes continúan tomando herramientas disponibles en el mercado como Nuclei y propagando exploits a través de Internet para identificar y comprometer rápidamente los activos vulnerables».