📰 Informação fresquinha chegando para você!
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) atualizou seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) para incluir uma falha de segurança que afeta o OpenPLC ScadaBR, citando evidências de exploração ativa.
A vulnerabilidade em questão é CVE-2021-26829 (pontuação CVSS: 5,4), uma falha de script entre sites (XSS) que afeta as versões Windows e Linux do software por meio de system_settings.shtm. Afeta as seguintes versões -
OpenPLC ScadaBR até 1.12.4 no Windows
OpenPLC ScadaBR até 0.9.1 no Linux
A adição do defeito de segurança ao catálogo KEV ocorre pouco mais de um mês depois que Forescout disse que pegou um grupo hacktivista pró-Rússia conhecido como TwoNet visando seu honeypot em setembro de 2025, confundindo-o com uma instalação de tratamento de água.
No compromisso direcionado à planta isca, o ator da ameaça teria passado do acesso inicial para a ação disruptiva em cerca de 26 horas, usando credenciais padrão para obter o acesso inicial, seguido pela realização de atividades de reconhecimento e persistência através da criação de uma nova conta de usuário chamada “BARLATI”.
Os invasores então exploraram o CVE-2021-26829 para desfigurar a descrição da página de login da HMI para exibir uma mensagem pop-up “Hacked by Barlati” e modificar as configurações do sistema para desativar logs e alarmes, sem saber que estavam violando um sistema honeypot.
Cadeia de ataque TwoNet
“O invasor não tentou escalar privilégios ou explorar o host subjacente, concentrando-se exclusivamente na camada de aplicação web da HMI”, disse Forescout.
A TwoNet iniciou suas operações no Telegram no inÃcio de janeiro deste ano, inicialmente com foco em ataques distribuÃdos de negação de serviço (DDoS), antes de se dedicar a um conjunto mais amplo de atividades, incluindo o direcionamento de sistemas industriais, doxxing e ofertas comerciais como ransomware como serviço (RaaS), hack-for-hire e corretagem de acesso inicial.
Também alegou ser afiliado a outras marcas hacktivistas, como CyberTroops e OverFlame. “A TwoNet agora mistura táticas legadas da web com afirmações que chamam a atenção em torno de sistemas industriais”, acrescentou a empresa de segurança cibernética.
À luz da exploração ativa, as agências do Poder Executivo Civil Federal (FCEB) são obrigadas a aplicar as correções necessárias até 19 de dezembro de 2025, para proteção ideal.
Operação de exploração de combustÃveis de serviço OAST
O desenvolvimento ocorre no momento em que a VulnCheck disse ter observado um endpoint de teste de segurança de aplicativos fora de banda (OAST) de “longa execução” no Google Cloud, conduzindo uma operação de exploração com foco regional. Dados de sensores de internet implantados pela empresa mostram que a atividade é voltada ao Brasil.
“Observamos cerca de 1.400 tentativas de exploração abrangendo mais de 200 CVEs vinculados a esta infraestrutura”, disse Jacob Baines, CTO da VulnCheck. “Embora a maior parte da atividade se assemelhasse aos modelos padrão do Nuclei, as escolhas de hospedagem, cargas úteis e segmentação regional do invasor não se alinhavam com o uso tÃpico do OAST”.
A atividade envolve a exploração de uma falha e, se for bem-sucedida, emitir uma solicitação HTTP para um dos subdomÃnios OAST do invasor ("*.i-sh.detectors-testing[.]com"). Os retornos de chamada OAST associados ao domÃnio datam de pelo menos novembro de 2024, sugerindo que está em andamento há cerca de um ano.
Descobriu-se que as tentativas emanam da infraestrutura do Google Cloud com sede nos EUA, ilustrando como os malfeitores estão transformando serviços legÃtimos de Internet em armas para evitar a detecção e se misturar ao tráfego normal da rede.
VulnCheck disse que também identificou um arquivo de classe Java (“TouchFile.class”) hospedado no endereço IP (“34.136.22[.]26”) vinculado ao domÃnio OAST que expande uma exploração disponÃvel publicamente para uma falha de execução remota de código Fastjson para aceitar comandos e parâmetros de URL, e executar esses comandos e fazer solicitações HTTP de saÃda para os URLs passados como entrada.
“A infraestrutura OAST de longa duração e o foco regional consistente sugerem um ator que está conduzindo um esforço sustentado de varredura, em vez de investigações oportunistas de curta duração”, disse Baines. “Os invasores continuam a usar ferramentas disponÃveis no mercado, como o Nuclei, e a espalhar exploits pela Internet para identificar e comprometer rapidamente ativos vulneráveis.”
A vulnerabilidade em questão é CVE-2021-26829 (pontuação CVSS: 5,4), uma falha de script entre sites (XSS) que afeta as versões Windows e Linux do software por meio de system_settings.shtm. Afeta as seguintes versões -
OpenPLC ScadaBR até 1.12.4 no Windows
OpenPLC ScadaBR até 0.9.1 no Linux
A adição do defeito de segurança ao catálogo KEV ocorre pouco mais de um mês depois que Forescout disse que pegou um grupo hacktivista pró-Rússia conhecido como TwoNet visando seu honeypot em setembro de 2025, confundindo-o com uma instalação de tratamento de água.
No compromisso direcionado à planta isca, o ator da ameaça teria passado do acesso inicial para a ação disruptiva em cerca de 26 horas, usando credenciais padrão para obter o acesso inicial, seguido pela realização de atividades de reconhecimento e persistência através da criação de uma nova conta de usuário chamada “BARLATI”.
Os invasores então exploraram o CVE-2021-26829 para desfigurar a descrição da página de login da HMI para exibir uma mensagem pop-up “Hacked by Barlati” e modificar as configurações do sistema para desativar logs e alarmes, sem saber que estavam violando um sistema honeypot.
Cadeia de ataque TwoNet
“O invasor não tentou escalar privilégios ou explorar o host subjacente, concentrando-se exclusivamente na camada de aplicação web da HMI”, disse Forescout.
A TwoNet iniciou suas operações no Telegram no inÃcio de janeiro deste ano, inicialmente com foco em ataques distribuÃdos de negação de serviço (DDoS), antes de se dedicar a um conjunto mais amplo de atividades, incluindo o direcionamento de sistemas industriais, doxxing e ofertas comerciais como ransomware como serviço (RaaS), hack-for-hire e corretagem de acesso inicial.
Também alegou ser afiliado a outras marcas hacktivistas, como CyberTroops e OverFlame. “A TwoNet agora mistura táticas legadas da web com afirmações que chamam a atenção em torno de sistemas industriais”, acrescentou a empresa de segurança cibernética.
À luz da exploração ativa, as agências do Poder Executivo Civil Federal (FCEB) são obrigadas a aplicar as correções necessárias até 19 de dezembro de 2025, para proteção ideal.
Operação de exploração de combustÃveis de serviço OAST
O desenvolvimento ocorre no momento em que a VulnCheck disse ter observado um endpoint de teste de segurança de aplicativos fora de banda (OAST) de “longa execução” no Google Cloud, conduzindo uma operação de exploração com foco regional. Dados de sensores de internet implantados pela empresa mostram que a atividade é voltada ao Brasil.
“Observamos cerca de 1.400 tentativas de exploração abrangendo mais de 200 CVEs vinculados a esta infraestrutura”, disse Jacob Baines, CTO da VulnCheck. “Embora a maior parte da atividade se assemelhasse aos modelos padrão do Nuclei, as escolhas de hospedagem, cargas úteis e segmentação regional do invasor não se alinhavam com o uso tÃpico do OAST”.
A atividade envolve a exploração de uma falha e, se for bem-sucedida, emitir uma solicitação HTTP para um dos subdomÃnios OAST do invasor ("*.i-sh.detectors-testing[.]com"). Os retornos de chamada OAST associados ao domÃnio datam de pelo menos novembro de 2024, sugerindo que está em andamento há cerca de um ano.
Descobriu-se que as tentativas emanam da infraestrutura do Google Cloud com sede nos EUA, ilustrando como os malfeitores estão transformando serviços legÃtimos de Internet em armas para evitar a detecção e se misturar ao tráfego normal da rede.
VulnCheck disse que também identificou um arquivo de classe Java (“TouchFile.class”) hospedado no endereço IP (“34.136.22[.]26”) vinculado ao domÃnio OAST que expande uma exploração disponÃvel publicamente para uma falha de execução remota de código Fastjson para aceitar comandos e parâmetros de URL, e executar esses comandos e fazer solicitações HTTP de saÃda para os URLs passados como entrada.
“A infraestrutura OAST de longa duração e o foco regional consistente sugerem um ator que está conduzindo um esforço sustentado de varredura, em vez de investigações oportunistas de curta duração”, disse Baines. “Os invasores continuam a usar ferramentas disponÃveis no mercado, como o Nuclei, e a espalhar exploits pela Internet para identificar e comprometer rapidamente ativos vulneráveis.”
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #cisa #adiciona #bug #xss #explorado #ativamente #cve202126829 #no #openplc #scadabr #para #kev
🚀 Mais conteúdos incrÃveis estão por vir, fique atento!
Postar um comentário