Falhas no HMI do OpenPLC ScadaBR foram associadas a exploração ativa, alteração de interface, desativação de registros e upload autenticado de arquivo JSP em ambiente industrial simulado.
| Componente | OpenPLC ScadaBR, incluindo a interface HMI acessada por system_settings.shtm e view_edit.shtm. |
| Vetor | CVE-2021-26829 envolve XSS em system_settings.shtm; CVE-2021-26828 envolve upload autenticado de arquivo JSP perigoso por view_edit.shtm. |
| Impacto | Exploração observada permitiu alteração da página de login do HMI, modificação de configurações, desativação de logs e alarmes, e upload de web shell Java em caso separado. |
| Prioridade | Ambientes com OpenPLC ScadaBR exposto devem aplicar correções ou mitigações do fornecedor, eliminar credenciais padrão e revisar telemetria de autenticação, HMI e upload de arquivos. |
| Artefatos | Conta criada com nome BARLATI, mensagem de defacement no HMI, arquivo Java TouchFile.class e callbacks para subdomínios OAST defangados em *.i-sh.detectors-testing[.]com. |
| IoCs | Exemplos defangados citados incluem 34.136.22[.]26 associado ao domínio OAST e 45.14.247[.]87 em atividade separada contra honeypot. |
A CISA incluiu CVE-2021-26829 no catálogo Known Exploited Vulnerabilities após evidência de exploração ativa contra OpenPLC ScadaBR. A falha tem pontuação CVSS 5.4 e afeta versões para Windows e Linux do software por meio de system_settings.shtm. O defeito é descrito como cross-site scripting e, no caso observado, foi usado no plano da aplicação web do HMI, não como exploração do sistema operacional subjacente.
A atividade associada ao OpenPLC ScadaBR ocorreu em um honeypot que simulava uma instalação de tratamento de água. O operador, vinculado no contexto ao grupo hacktivista pró-Rússia TwoNet, obteve acesso usando credenciais padrão, fez reconhecimento, estabeleceu persistência com uma nova conta chamada BARLATI e explorou a falha para alterar a descrição da tela de login do HMI com uma mensagem de defacement. O mesmo fluxo também incluiu modificação de configurações para desativar logs e alarmes, o que torna a falha relevante para defesa de ambientes OT mesmo quando o impacto técnico imediato permanece limitado à camada web.
O caso também ganhou importância porque outra falha do mesmo produto, CVE-2021-26828, foi adicionada ao KEV em 3 de dezembro de 2025. Essa segunda vulnerabilidade tem CVSS 8.8 e permite que usuários remotos autenticados façam upload e execução de arquivos JSP arbitrários por view_edit.shtm. Em atividade separada observada em março de 2025, uma origem ligada à Rússia usou credenciais padrão no HMI e explorou essa condição para carregar um web shell Java, com ações posteriores restritas a enumeração básica de arquivos e processos.
A cadeia relacionada a CVE-2021-26829 começou com autenticação bem-sucedida por credenciais padrão. Esse detalhe é essencial para a análise de risco: a exploração relatada não foi apresentada como tomada remota direta sem autenticação, mas como abuso de uma aplicação HMI acessível depois de uma entrada inicial fraca. Após o acesso, o operador navegou pela aplicação, criou uma conta persistente e alterou elementos visíveis da interface. A mensagem de defacement no login tinha valor operacional limitado, mas indicou controle sobre conteúdo renderizado pela aplicação e foi acompanhada de tentativa de reduzir visibilidade defensiva ao desativar logs e alarmes.
O tempo entre o acesso inicial e a ação disruptiva foi de cerca de 26 horas no ambiente simulado. Esse intervalo permite que equipes de defesa tratem eventos de autenticação anômala, criação inesperada de contas e alteração de parâmetros do HMI como sinais de alto valor antes que uma mudança visual ou operacional seja percebida. O operador não tentou elevação de privilégio nem exploração do host subjacente no caso descrito, o que delimita o impacto confirmado à aplicação web do HMI e às configurações expostas por ela.
CVE-2021-26828 amplia o cenário porque envolve upload irrestrito de arquivo perigoso em rota autenticada. No caso observado, o upload resultou em um web shell Java, seguido por enumeração simples do host. Não há suporte no contexto para afirmar movimentação lateral, roubo de dados ou comprometimento de sistemas industriais reais. Ainda assim, a combinação de credenciais padrão, HMI exposto e upload executável representa uma condição crítica para ambientes que conectam supervisão operacional a redes pouco segmentadas.
A superfície principal é o OpenPLC ScadaBR em implantações Windows e Linux que exponham a interface HMI e aceitem autenticação com credenciais fracas ou padrão. Os caminhos system_settings.shtm e view_edit.shtm devem ser tratados como pontos de interesse em revisão de logs, inventário de exposição e validação de correção. O contexto não enumera builds específicos afetados, portanto a resposta defensiva deve partir da presença do produto e da orientação do fornecedor, não de uma lista de versões inferida.
O risco aumenta quando a interface de supervisão fica acessível pela internet, por redes administrativas amplas ou por segmentos onde contas padrão ainda funcionam. A atividade descrita também mostra que honeypots e sistemas industriais aparentes podem atrair operadores hacktivistas interessados em impacto visual, reivindicação pública e interferência em sinais de monitoramento. Essa motivação não altera os pré-requisitos técnicos da falha, mas muda a prioridade de exposição: interfaces HMI identificáveis tendem a ser testadas por scripts, operadores oportunistas e campanhas regionais.
- Instâncias OpenPLC ScadaBR com HMI acessível e credenciais padrão ainda válidas.
- Rota
system_settings.shtmassociada aCVE-2021-26829e alteração de conteúdo/configurações. - Rota
view_edit.shtmassociada aCVE-2021-26828e upload autenticado de JSP perigoso. - Ambientes OT, laboratórios, honeypots e interfaces industriais simuladas expostas a tráfego externo.
A investigação deve começar pela autenticação no HMI. Eventos de login com credenciais padrão, criação de contas inesperadas e alterações administrativas fora de janela de manutenção são sinais diretamente conectados ao fluxo observado. A conta BARLATI é um artefato específico do caso descrito e deve ser procurada em ambientes que executem OpenPLC ScadaBR, mas a ausência desse nome não elimina risco, já que outro operador poderia usar nomenclatura diferente.
Na camada de aplicação, revise mudanças na descrição da página de login, alterações de parâmetros em system_settings.shtm, eventos de desativação de logs e alarmes e qualquer upload associado a view_edit.shtm. Para CVE-2021-26828, a presença de arquivos JSP recém-criados ou web shells Java deve receber prioridade, especialmente quando seguida por consultas de enumeração de diretórios, processos ou ambiente. A análise precisa manter o escopo: no caso relatado de CVE-2021-26829, não houve tentativa observada de exploração do host.
O contexto também descreve uma operação regional de exploração usando infraestrutura OAST em Google Cloud, com cerca de 1.400 tentativas ligadas a mais de 200 CVEs e foco no Brasil. Essa atividade usava callbacks HTTP para subdomínios defangados em *.i-sh.detectors-testing[.]com, com sinais desde pelo menos novembro de 2024. A presença de tráfego de saída para esses domínios ou para infraestrutura relacionada deve ser avaliada como indício de tentativa de validação de exploração, não necessariamente como confirmação de execução bem-sucedida.
- Logins bem-sucedidos com credenciais padrão ou contas administrativas não reconhecidas.
- Criação da conta
BARLATIou de contas locais novas próximas a alterações no HMI. - Mudanças em descrições da tela de login, logs ou alarmes via
system_settings.shtm. - Uploads JSP por
view_edit.shtme arquivos Java inesperados em diretórios servidos pela aplicação. - Callbacks HTTP para domínios OAST defangados em
*.i-sh.detectors-testing[.]com. - Comunicação ou artefatos envolvendo
TouchFile.class,34.136.22[.]26ou45.14.247[.]87, mantendo os indicadores defangados em bloqueios e buscas.
A primeira medida é aplicar as correções ou mitigações indicadas para OpenPLC ScadaBR nas instâncias afetadas por CVE-2021-26829 e CVE-2021-26828. Para órgãos federais civis dos Estados Unidos, o prazo informado para CVE-2021-26829 foi 19 de dezembro de 2025; para CVE-2021-26828, 24 de dezembro de 2025. Fora desse escopo regulatório, os prazos ainda servem como referência de urgência porque ambas as falhas foram associadas a exploração ativa.
A mitigação não deve depender apenas de patch. O caso descrito mostra que credenciais padrão foram o facilitador do acesso inicial. Portanto, todas as contas do HMI precisam ser revisadas, senhas padrão removidas, contas não reconhecidas desativadas e permissões administrativas reduzidas. Em ambientes industriais, o acesso à interface deve ser restringido por segmentação, VPN controlada, listas de permissão e monitoramento de identidade, evitando exposição direta da aplicação a redes não confiáveis.
Depois da correção, valide a integridade do HMI. Isso inclui conferir se logs e alarmes estão habilitados, revisar configurações alteradas, remover conteúdo de defacement, procurar arquivos JSP ou Java suspeitos e confirmar que não há contas persistentes criadas durante a janela de exposição. Quando houver suspeita de exploração de CVE-2021-26828, trate o host como potencialmente comprometido na camada de aplicação e preserve evidências antes de remover artefatos.
Para a atividade OAST descrita com foco regional, bloqueios devem ser acompanhados de investigação de tráfego de saída. Um callback para infraestrutura OAST pode indicar que um scanner conseguiu acionar uma condição de rede ou execução em algum ativo. A resposta adequada é correlacionar o destino defangado com logs de proxy, DNS, EDR, servidor web e aplicação, identificar o serviço que originou a requisição e verificar qual CVE ou template de exploração foi tentado contra o ativo.
- Aplicar atualização ou mitigação do fornecedor para
CVE-2021-26829eCVE-2021-26828. - Remover credenciais padrão e revisar todas as contas administrativas do OpenPLC ScadaBR.
- Isolar o HMI de acesso direto pela internet e limitar administração a redes autorizadas.
- Reativar e validar logs e alarmes após qualquer suspeita de alteração indevida.
- Procurar uploads JSP, web shells Java e arquivos inesperados em caminhos servidos pela aplicação.
- Correlacionar callbacks OAST com logs de DNS, proxy, aplicação e endpoint para identificar ativos explorados ou testados.
0 Comentários