CISA incorpora vulnerabilidad XSS en OpenPLC ScadaBR (CVE-2021-26829) a su lista KEV por explotación activa

La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) añadió la vulnerabilidad CVE-2021-26829, un fallo de Cross-Site Scripting (XSS) activamente explotado en OpenPLC ScadaBR, a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV).
El problema afecta a versiones hasta la 0.9.1 en Linux y 1.12.4 en Windows, permitiendo la ejecución de código malicioso mediante la manipulación del archivo system_settings.shtm, lo que compromete directamente la seguridad de sistemas SCADA y entornos de control industrial.

Detalles técnicos de la vulnerabilidad

El fallo XSS permite que un atacante inyecte JavaScript malicioso en la interfaz web de ScadaBR. Dicho código se ejecuta automáticamente en los navegadores de los usuarios que acceden al sistema, habilitando múltiples vectores de ataque:

• Defacement de la página HMI de login

• Deshabilitación de logs y alarmas

• Secuestro de sesiones

• Manipulación de configuraciones clave

• Posible habilitación de acciones disruptivas en entornos OT

En incidentes recientes, los atacantes han aprovechado credenciales por defecto para obtener acceso inicial. Después, proceden a:

1. Crear cuentas maliciosas con privilegios elevados

2. Alterar configuraciones para persistencia clandestina

3. Preparar escenarios de manipulación operativa en los sistemas afectados

Estas acciones representan un riesgo significativo para infraestructuras industriales que dependen de este software.

Impacto y explotación observada

CISA documentó campañas donde los atacantes utilizan Google Cloud en Estados Unidos como infraestructura de origen para evadir alertas y mezclarse con el tráfico legítimo. Los eventos registrados muestran:

• Más de 1,400 intentos de explotación asociados

• Actividad vinculada a 200+ vulnerabilidades distintas en el ecosistema OT

• Compromisos donde, en tan solo 26 horas, el actor pasó de reconocimiento a modificaciones disruptivas

Este patrón sugiere un actor con recursos, capacidad técnica y automatización, apuntando a sistemas industriales expuestos o mal configurados.

Recomendaciones de seguridad para entornos OT y TI

CISA emitió las siguientes acciones prioritarias:

1. Aplicar mitigaciones oficiales de proveedores

• Revisar actualizaciones o parches disponibles

• Corregir configuraciones predeterminadas, especialmente credenciales por defecto

• Deshabilitar funcionalidades expuestas sin necesidad

2. Cumplir con el BOD 22-01 para servicios en la nube

• Endurecimiento de accesos

• Monitoreo de actividad anómala

• Validación de proveedores y configuraciones de servicios expuestos

3. Descontinuar el uso del software afectado

Si no existen parches o mitigaciones aplicables, se recomienda retirar ScadaBR de ambientes operativos para evitar riesgo de compromiso.

4. Monitorear y auditar continuamente

• Revisar logs de acceso

• Validar integridad de cuentas de usuario

• Detectar cualquier señal de persistencia o abuso

• Implementar WAF o filtros para mitigar ataques XSS

Conclusión

La inclusión de CVE-2021-26829 en la lista KEV subraya la urgencia de reforzar la seguridad en sistemas ICS/SCADA, especialmente aquellos expuestos a internet o que dependen de configuraciones por defecto. Mantener el software actualizado, auditar proveedores y aplicar controles de seguridad en capas es esencial para preservar la integridad operativa y evitar incidentes que puedan afectar procesos industriales críticos.