A vulnerabilidade OpenPLC Scada ganhou destaque internacional após a inclusão da CVE-2021-26829 na lista de vulnerabilidades exploradas ativamente pelo governo dos Estados Unidos. A decisão da agência reforça a gravidade de uma falha de cross-site scripting (XSS) em sistemas SCADA/TO, especialmente em softwares amplamente usados em organizações brasileiras. Este artigo analisa o caso, o ataque conduzido pelo grupo hacktivista TwoNet e o alerta urgente sobre varreduras maliciosas com foco no Brasil, além de orientar sobre as ações imediatas de mitigação.
A adição desta falha à lista Known Exploited Vulnerabilities (KEV) é um sinal claro de que sistemas industriais estão sob ameaça real e contínua. Neste contexto, entender a natureza da falha CVE-2021-26829, sua exploração prática e as medidas corretivas necessárias torna-se crucial para profissionais de segurança, administradores e operadores de infraestrutura crítica.
Sistemas SCADA e ambientes de Tecnologia da Operação (TO) diferem de aplicações corporativas tradicionais pela sua função direta no controle de processos físicos, o que eleva o risco de qualquer vulnerabilidade. Uma brecha XSS neste contexto vai muito além de janelas pop-up ou manipulação de páginas, podendo abrir caminho para ações que alterem controles, desativem logs ou comprometam a integridade operacional.
O que é a CVE-2021-26829 e o alerta da CISA
A CVE-2021-26829 é uma vulnerabilidade de cross-site scripting (XSS) identificada no OpenPLC ScadaBR, que afeta tanto instalações Windows quanto Linux quando configuradas com versões vulneráveis do módulo web. A falha permite que atacantes injetem código JavaScript malicioso diretamente na interface HMI, abrindo espaço para ataques que comprometem sessões, manipulam controles e alteram o comportamento da tela de supervisão industrial.
A inclusão desta falha na lista KEV da CISA significa que o governo dos EUA confirmou exploração ativa no mundo real, obrigando agências federais a aplicarem correções antes de prazos definidos sob risco de não conformidade. Para o restante das organizações, isso funciona como um alerta de risco elevado e iminente: qualquer sistema exposto permanece vulnerável a exploração automatizada ou dirigida.
Segundo especialistas, a exploração é considerada de baixo esforço, especialmente em casos em que o sistema está configurado com credenciais padrão ou acessível pela internet sem segmentação adequada. Isso torna o cenário ainda mais perigoso para ambientes SCADA, onde uma simples alteração na interface pode levar operadores a tomar decisões equivocadas ou mascarar indicadores críticos.
O caso real: o hacktivismo do TwoNet e o ataque ao honeypot
A confirmação prática da ameaça veio com o ataque conduzido pelo grupo hacktivista TwoNet, que explorou a vulnerabilidade em um honeypot configurado para simular um ambiente SCADA real. O caso foi documentado em detalhes por pesquisadores de segurança e serviu como evidência para reforçar o caráter crítico da falha.
O ataque começou de forma tradicional, com o invasor utilizando credenciais padrão do ambiente SCADA exposto. Após o acesso inicial, o grupo iniciou uma fase de reconhecimento, analisando permissões, verificando a interface HMI e identificando pontos de injeção possíveis.
Em seguida, os atacantes criaram a conta “BARLATI”, indicando a tentativa de estabelecer persistência e desviar a atenção dos operadores para uma suposta conta legítima. Essa etapa também demonstrou intenção de adulterar o ambiente operacional e desorganizar a auditoria.
Com o reconhecimento concluído, o TwoNet explorou diretamente a CVE-2021-26829, injetando scripts maliciosos na interface HMI para manipular elementos visuais, registrar ações e interferir no comportamento das telas. O grupo ainda tentou desabilitar logs, estratégia comum para dificultar rastreamento e análise pós-incidente.
O ataque demonstrou como uma combinação aparentemente simples, credenciais fracas, HMI exposta e falha XSS não corrigida, pode resultar em controle parcial ou total de um sistema industrial.
A ameaça de vulnerabilidades XSS em IHMs SCADA
Vulnerabilidades XSS em IHMs SCADA representam riscos muito além de um ataque web convencional. Em contextos industriais, uma injeção de script pode manipular leituras exibidas, ocultar alarmes, alterar controles visuais e induzir operadores ao erro. Isso gera riscos que vão desde alterações indevidas em parâmetros até falhas em processos físicos.
Além disso, ataques XSS podem servir como vetor inicial para a execução de ações mais complexas, incluindo escalonamento de privilégios, instalação de webshells e captura de sessões administrativas. Em ambientes onde a disponibilidade e a integridade são fundamentais, o impacto pode ser catastrófico.
Varredura de longa duração e o foco no Brasil
Relatórios recentes da VulnCheck indicam que a exploração da falha CVE-2021-26829 não se limita ao caso do TwoNet. Pesquisadores rastrearam uma operação contínua de varredura, ativa há meses, que utiliza um endpoint OAST para identificar sistemas vulneráveis em diversos países, com um foco significativo no Brasil.
O uso de infraestrutura hospedada no Google Cloud faz parte da estratégia de evasão, dificultando o bloqueio baseado em reputação de IP e permitindo que os operadores alternem rapidamente seus pontos de origem. Essa técnica aumenta a persistência da campanha de varredura, permitindo que atacantes realizem testes de identificação com alto volume e baixa detecção.
Para os especialistas, o grande número de instalações do OpenPLC ScadaBR no Brasil torna o país um alvo preferencial. Empresas de energia, saneamento, automação industrial e instituições de pesquisa utilizam o software devido à sua flexibilidade e à facilidade de adaptação a diversos cenários operacionais.
Por que os sistemas brasileiros são alvos?
A concentração de sistemas SCADA/TO sem segmentação adequada e, muitas vezes, expostos inadvertidamente à internet coloca o Brasil entre os principais alvos de campanhas de exploração. A adoção ampla de ferramentas de código aberto, aliada à escassez de equipes de segurança dedicadas em pequenas e médias empresas, cria um ambiente atrativo para atores maliciosos.
Além disso, muitas organizações ainda estão em processo de amadurecimento das práticas de segurança específicas para ambientes de Tecnologia da Operação, o que inclui políticas de senhas, gestão de patches, hardening da HMI e restrições de acesso remoto. Essa combinação favorece ataques automatizados e oportunistas.
Conclusão e ações imediatas: como proteger seu sistema
A inclusão da vulnerabilidade OpenPLC Scada CISA KEV na lista de falhas exploradas ativamente reforça o caráter urgente da correção. A CVE-2021-26829 é simples de explorar, tem impacto significativo e já está sendo utilizada por grupos reais, incluindo hacktivistas e operadores de varreduras globais.
A CISA estabeleceu prazos de correção para agências federais, mas empresas privadas e organizações brasileiras não devem esperar: a mitigação deve ser imediata.
A primeira ação é aplicar os patches oficiais ou, quando não disponíveis, implementar correções temporárias recomendadas pelos mantenedores do OpenPLC ScadaBR. Em paralelo, é essencial revisar todas as credenciais, removendo contas padrão e aplicando políticas de senha forte em toda a infraestrutura de TO.
Para complementar, as organizações devem reforçar a segmentação de redes, bloquear exposição desnecessária da HMI e adotar ferramentas de monitoramento capazes de identificar anomalias em tempo real.
A falha CVE-2021-26829 é um lembrete contundente de que ambientes industriais permanecem sob ameaça crescente e que a defesa exige ação imediata, contínua e estratégica. Profissionais de segurança e administradores devem agir agora para garantir a integridade e a disponibilidade dos sistemas críticos que sustentam operações essenciais em todo o país.
