Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã cập nhật danh mục Known Exploited Vulnerabilities (KEV) của mình để đưa vào một lỗ hổng bảo mật ảnh hưởng đến OpenPLC ScadaBR, với bằng chứng cho thấy đã bị khai thác tích cực.
Lỗ hổng được đề cập là CVE-2021-26829 (điểm CVSS: 5.4), một lỗ hổng cross-site scripting (XSS) ảnh hưởng đến các phiên bản Windows và Linux của phần mềm thông qua system_settings.shtm. Nó tác động đến các phiên bản sau:
- OpenPLC ScadaBR từ 1.12.4 trở xuống trên Windows
- OpenPLC ScadaBR từ 0.9.1 trở xuống trên Linux
Việc bổ sung lỗ hổng bảo mật này vào danh mục KEV diễn ra chỉ hơn một tháng sau khi Forescout cho biết họ đã phát hiện một nhóm hacktivist thân Nga được biết đến với tên TwoNet nhắm mục tiêu vào honeypot của họ vào tháng 9 năm 2025, nhầm tưởng đó là một cơ sở xử lý nước.
Trong vụ xâm nhập nhắm vào nhà máy mồi nhử, kẻ đe dọa được cho là đã chuyển từ truy cập ban đầu sang hành động phá hoại chỉ trong khoảng 26 giờ, sử dụng thông tin đăng nhập mặc định để có được quyền truy cập ban đầu, sau đó thực hiện các hoạt động trinh sát và duy trì quyền truy cập bằng cách tạo một tài khoản người dùng mới có tên "BARLATI."
Sau đó, những kẻ tấn công tiếp tục khai thác CVE-2021-26829 để làm biến dạng mô tả trang đăng nhập HMI, hiển thị thông báo pop-up "Hacked by Barlati," và sửa đổi cài đặt hệ thống để tắt nhật ký và cảnh báo, mà không hề hay biết rằng chúng đang xâm nhập vào một hệ thống honeypot.
"Kẻ tấn công không cố gắng leo thang đặc quyền hoặc khai thác máy chủ bên dưới, chỉ tập trung vào lớp ứng dụng web của HMI," Forescout cho biết.
TwoNet bắt đầu hoạt động trên Telegram vào đầu tháng 1 này, ban đầu tập trung vào các cuộc tấn công distributed denial-of-service (DDoS), trước khi chuyển sang một loạt các hoạt động rộng hơn, bao gồm nhắm mục tiêu vào các hệ thống công nghiệp, doxxing và các dịch vụ thương mại như ransomware-as-a-service (RaaS), hack-for-hire và môi giới truy cập ban đầu.
Nó cũng tuyên bố liên kết với các thương hiệu hacktivist khác như CyberTroops và OverFlame. "TwoNet hiện pha trộn các chiến thuật web truyền thống với những tuyên bố gây chú ý xung quanh các hệ thống công nghiệp," công ty an ninh mạng cho biết thêm.
Trước tình hình bị khai thác tích cực, các cơ quan Federal Civilian Executive Branch (FCEB) được yêu cầu áp dụng các bản vá cần thiết trước ngày 19 tháng 12 năm 2025, để có được sự bảo vệ tối ưu.
Dịch Vụ OAST Thúc Đẩy Hoạt Động Khai Thác
Sự phát triển này diễn ra khi VulnCheck cho biết họ đã quan sát thấy một điểm cuối Out-of-Band Application Security Testing (OAST) "kéo dài" trên Google Cloud đang thúc đẩy một hoạt động khai thác tập trung vào khu vực. Dữ liệu từ các cảm biến internet do công ty triển khai cho thấy hoạt động này nhắm mục tiêu vào Brazil.
"Chúng tôi đã quan sát thấy khoảng 1.400 nỗ lực khai thác trải dài hơn 200 CVE liên quan đến cơ sở hạ tầng này," Jacob Baines, CTO của VulnCheck, cho biết. "Mặc dù hầu hết hoạt động giống với các template Nuclei tiêu chuẩn, nhưng các lựa chọn lưu trữ, payload và mục tiêu khu vực của kẻ tấn công không phù hợp với việc sử dụng OAST thông thường."
Hoạt động này bao gồm việc khai thác một lỗ hổng, và nếu thành công, sẽ gửi yêu cầu HTTP đến một trong các subdomain OAST của kẻ tấn công ("*.i-sh.detectors-testing[.]com"). Các callback OAST liên quan đến tên miền này đã có từ ít nhất tháng 11 năm 2024, cho thấy nó đã diễn ra trong khoảng một năm.
Các nỗ lực này được phát hiện xuất phát từ cơ sở hạ tầng Google Cloud đặt tại Hoa Kỳ, minh họa cách các tác nhân xấu đang vũ khí hóa các dịch vụ internet hợp pháp để tránh bị phát hiện và hòa lẫn vào lưu lượng mạng thông thường.
VulnCheck cũng cho biết họ đã xác định một tệp tin Java class ("TouchFile.class") được lưu trữ trên địa chỉ IP ("34.136.22[.]26") liên kết với tên miền OAST, mở rộng một exploit có sẵn công khai cho lỗ hổng remote code execution của Fastjson để chấp nhận các lệnh và tham số URL, sau đó thực thi các lệnh đó và thực hiện các yêu cầu HTTP đi ra đến các URL được truyền làm đầu vào.
"Cơ sở hạ tầng OAST tồn tại lâu dài và sự tập trung nhất quán vào khu vực cho thấy một tác nhân đang thực hiện nỗ lực quét liên tục thay vì các cuộc thăm dò cơ hội ngắn ngủi," Baines nói. "Những kẻ tấn công tiếp tục sử dụng các công cụ có sẵn như Nuclei và tung các exploit trên khắp internet để nhanh chóng xác định và xâm phạm các tài sản dễ bị tổn thương."
