Vulnerabilidade crítica foi adicionada à lista de Vulnerabilidades Conhecidas Exploradas da CISA, alertando as organizações sobre uma falha perigosa de upload de arquivos em sistemas OpenPLC ScadaBR.
A vulnerabilidade permite que usuários autenticados remotamente carreguem e executem arquivos JSP arbitrários por meio da interface view_edit.shtm, criando um risco significativo para ambientes de sistemas de controle industrial.
Vulnerabilidade de upload de arquivo OpenPLC ScadaBR
OpenPLC ScadaBR, uma plataforma de automação industrial baseada na web, contém uma vulnerabilidade de upload irrestrito de arquivos classificada em CWE-434 (Upload Irrestrito de Arquivo com Tipo Perigoso).
Essa fraqueza permite que invasores autenticados contornem os controles de segurança e injetem códigos maliciosos diretamente em sistemas vulneráveis.
A capacidade de fazer upload e executar arquivos JSP fornece aos invasores acesso persistente e a capacidade de executar código no ambiente industrial.
FieldDetailsCVE IDCVE-2021-26828Tipo de vulnerabilidadeUpload irrestrito de arquivo com tipo perigosoProduto afetadoOpenPLC ScadaBRAttack VectorBaseado em rede, remotoCVSS SeverityCriticalImpactRemote Code Execution (RCE) via upload de arquivo JSP
Potencialmente interrompendo operações críticas ou facilitando o movimento lateral dentro de redes industriais.
As organizações devem resolver esta vulnerabilidade até 24 de dezembro de 2025, de acordo com o prazo da CISA. As agências federais e os operadores de infraestruturas críticas devem dar prioridade à remediação imediata.
A CISA recomenda três ações principais: primeiro, aplicar mitigações fornecidas pelo fornecedor de acordo com as instruções do fabricante.
Em segundo lugar, para implantações baseadas em nuvem, siga as orientações descritas na Diretiva Operacional Vinculativa (BOD 22-01). Terceiro, interrompa o uso do OpenPLC ScadaBR se mitigações adequadas permanecerem indisponíveis.
Embora a CISA não tenha confirmado o uso desta vulnerabilidade em campanhas ativas de ransomware, a natureza da falha a torna particularmente atraente para os agentes de ameaças que visam sistemas de controle industrial.
Vulnerabilidades de upload de arquivos em plataformas de automação industrial representam um caminho direto para o comprometimento do sistema.
Especialmente em ambientes onde o monitoramento de segurança pode ser limitado. A janela de correção de três semanas ressalta a gravidade do cenário de ameaças.
As organizações que executam o OpenPLC ScadaBR devem inventariar imediatamente os sistemas afetados e validar o status atual do patch.
As equipes de segurança devem implementar a segmentação de rede para limitar o acesso às interfaces administrativas. Restrinja uploads de arquivos por meio de regras de firewall sempre que possível e aprimore o monitoramento de uploads de arquivos JSP suspeitos.
Além disso, as organizações devem revisar os logs de acesso em busca de evidências de exploração e coordenar-se com seus fornecedores de automação industrial para confirmar a disponibilidade de patches e os procedimentos de implantação.
Este alerta CISA destaca os riscos contínuos nos sistemas de controle industrial. Ele ressalta a importância de manter as práticas atuais de gerenciamento de patches em ambientes operacionais.
Siga-nos no Google News, LinkedIn e X para atualizações diárias de segurança cibernética. Entre em contato conosco para apresentar suas histórias.
