De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft zijn Known Exploited Vulnerabilities (KEV)-catalogus bijgewerkt met een beveiligingsfout die gevolgen heeft voor OpenPLC ScadaBR, daarbij verwijzend naar bewijs van actieve exploitatie.
De kwetsbaarheid in kwestie is CVE-2021-26829 (CVSS-score: 5,4), een cross-site scripting (XSS)-fout die Windows- en Linux-versies van de software treft via system_settings.shtm. Het heeft invloed op de volgende versies –
- OpenPLC ScadaBR tot en met 1.12.4 op Windows
- OpenPLC ScadaBR tot en met 0.9.1 op Linux
De toevoeging van het beveiligingsfout aan de KEV-catalogus komt iets meer dan een maand nadat Forescout zei dat het in september 2025 een pro-Russische hacktivistische groep, bekend als TwoNet, had betrapt op het aanvallen van zijn honeypot, waarbij hij deze aanzag voor een waterzuiveringsinstallatie.
In het compromis gericht op de lokinstallatie zou de bedreigingsacteur in ongeveer 26 uur zijn overgegaan van initiële toegang naar verstorende actie, waarbij hij standaardreferenties gebruikte om initiële toegang te verkrijgen, gevolgd door het uitvoeren van verkennings- en persistentieactiviteiten door een nieuw gebruikersaccount aan te maken met de naam “BARLATI.”
De aanvallers gingen vervolgens verder met het misbruiken van CVE-2021-26829 om de beschrijving van de HMI-inlogpagina te beschadigen en een pop-upbericht ‘Hacked by Barlati’ weer te geven, en de systeeminstellingen aan te passen om logboeken en alarmen uit te schakelen, zonder te weten dat ze een honeypot-systeem hadden geschonden.
“De aanvaller heeft geen poging ondernomen tot escalatie van bevoegdheden of misbruik van de onderliggende host, maar richtte zich uitsluitend op de webapplicatielaag van de HMI”, aldus Forescout.
TwoNet begon zijn activiteiten op Telegram eerder deze januari, aanvankelijk gericht op gedistribueerde denial-of-service (DDoS)-aanvallen, voordat het zich richtte op een bredere reeks activiteiten, waaronder het richten op industriële systemen, doxxing en commerciële aanbiedingen zoals ransomware-as-a-service (RaaS), hack-for-hire en initiële toegangsbemiddeling.
Het beweert ook banden te hebben met andere hacktivistische merken zoals CyberTroops en OverFlame. “TwoNet combineert nu verouderde webtactieken met opvallende claims rond industriële systemen”, voegde het cyberbeveiligingsbedrijf eraan toe.
In het licht van de actieve uitbuiting zijn de agentschappen van de Federal Civilian Executive Branch (FCEB) verplicht om vóór 19 december 2025 de nodige verbeteringen door te voeren, voor optimale bescherming.
OAST Service Fuels Exploit-operatie
De ontwikkeling komt op het moment dat VulnCheck zei dat het een ‘langlopend’ Out-of-Band Application Security Testing (OAST) eindpunt op Google Cloud observeerde dat een regionaal gerichte exploitoperatie aanstuurde. Uit gegevens van internetsensoren die door het bedrijf zijn ingezet, blijkt dat de activiteit op Brazilië is gericht.
“We hebben ongeveer 1.400 exploitpogingen waargenomen verspreid over meer dan 200 CVE’s die aan deze infrastructuur zijn gekoppeld”, zegt Jacob Baines, CTO van VulnCheck. “Hoewel de meeste activiteiten leken op standaard Nuclei-sjablonen, kwamen de hostingkeuzes, payloads en regionale targeting van de aanvaller niet overeen met het typische OAST-gebruik.”
De activiteit omvat het misbruiken van een fout en als dit lukt, wordt een HTTP-verzoek verzonden naar een van de OAST-subdomeinen van de aanvaller (“*.i-sh.detectors-testing(.)com”). De OAST-callbacks die aan het domein zijn gekoppeld, dateren van ten minste november 2024, wat erop wijst dat deze al ongeveer een jaar aan de gang zijn.
Het blijkt dat de pogingen afkomstig zijn van de in de VS gevestigde Google Cloud-infrastructuur, wat illustreert hoe slechte actoren legitieme internetdiensten als wapen gebruiken om detectie te omzeilen en op te gaan in het normale netwerkverkeer.
VulnCheck zei dat het ook een Java-klassebestand (“TouchFile.class”) heeft geïdentificeerd dat wordt gehost op het IP-adres (“34.136.22(.)26”) dat is gekoppeld aan het OAST-domein en dat voortbouwt op een openbaar beschikbare exploit voor een Fastjson-fout bij het uitvoeren van externe code om opdrachten en URL-parameters te accepteren, en deze opdrachten uit te voeren en uitgaande HTTP-verzoeken te doen naar de URL’s die als invoer worden doorgegeven.
“De langlevende OAST-infrastructuur en de consistente regionale focus suggereren een actor die een aanhoudende scaninspanning uitvoert in plaats van kortstondige opportunistische onderzoeken”, aldus Baines. “Aanvallers blijven kant-en-klare tools zoals Nuclei gebruiken en exploits over het internet verspreiden om snel kwetsbare activa te identificeren en te compromitteren.”
