Агентство кибербезопасности и инфраструктурной безопасности США (CISA) официально внесло новую уязвимость в свой каталог известных эксплуатируемых уязвимостей (Known Exploited Vulnerabilities, KEV). Пополнение каталога всегда происходит на основании достоверных свидетельств активного использования уязвимости в реальных атаках. На этот раз под прицелом оказалась популярная SCADA-система с открытым исходным кодом - OpenPLC ScadaBR.
Детали уязвимости
Идентификатор уязвимости - CVE-2021-26829. Её суть заключается в наличии сценариев межсайтового скриптинга (Cross-Site Scripting, XSS). Конкретно, проблема существует в веб-компоненте "system_settings.shtm". Уязвимость классифицируется как хранимый (stored) XSS. Это означает, что злонамеренный скрипт не просто передаётся через ссылку, а постоянно сохраняется на сервере, например, в настройках системы. После этого он выполняется в браузере каждого пользователя, который открывает соответствующую страницу панели управления (dashboard).
Важно отметить масштаб потенциального воздействия. Проблема затрагивает версию ScadaBR до 0.9.1 включительно в дистрибутивах для Linux и до версии 1.12.4 для платформы Windows. SCADA-системы (диспетчерское управление и сбор данных) являются критически важными компонентами в промышленности и энергетике. Они управляют технологическими процессами на заводах, электростанциях и объектах водоснабжения. Успешная эксплуатация уязвимости в такой системе открывает путь к серьёзным последствиям.
Эксплуатация хранимого XSS в SCADA-среде может преследовать различные цели. Во-первых, это может быть этап разведки. Внедрённый скрипт способен красть учетные данные (учётные записи) инженеров и операторов при их входе в систему. Во-вторых, злоумышленники могут подменить содержимое интерфейса, чтобы ввести персонал в заблуждение. Например, отобразить ложные показания датчиков или скрыть аварийные сигналы. Это создаёт прямой риск для физической безопасности объекта.
Кроме того, такая уязвимость часто служит трамплином для дальнейшего продвижения в сеть. Получив учётные данные администратора, злоумышленники могут установить на систему постоянное присутствие (persistence). В дальнейшем это позволяет загрузить и выполнить более опасный вредоносный код (payload), например, для саботажа или сбора конфиденциальных данных. В контексте промышленных систем это особенно опасно.
Факт добавления CVE-2021-26829 в каталог KEV CISA является мощным сигналом для всех организаций. Каталог служит авторитетным списком уязвимостей, которые требуют первоочередного внимания. Федеральные агентства США по закону обязаны устранять такие уязвимости в строго установленные сроки. Частный сектор и международные компании также активно используют этот каталог для приоритизации работ по исправлению. Таким образом, CISA прямо указывает на высокую актуальность данной угрозы.
Несмотря на то что информация об уязвимости была опубликована несколько лет назад, её активная эксплуатация продолжается. Это типичная ситуация для уязвимостей в промышленных системах управления. Жизненный цикл такого оборудования очень длинный, и обновления устанавливаются редко из-за требований к бесперебойной работе.
Что должны сделать администраторы? Первый и главный шаг - проверить, используется ли в их инфраструктуре затронутая версия OpenPLC ScadaBR. Если да, необходимо незамедлительно обновить систему до последней версии, в которой эта проблема устранена. Если немедленное обновление невозможно по техническим причинам, следует рассмотреть возможность изоляции системы от публичной сети. Также рекомендуется усилить мониторинг сетевой активности и журналов веб-приложения на предмет подозрительных действий.
Данный случай в очередной раз подчёркивает важность регулярного аудита и обновления даже вспомогательного программного обеспечения. SCADA-системы, будучи ключевым элементом критической инфраструктуры, требуют повышенного внимания к безопасности. Активная эксплуатация старой уязвимости демонстрирует, что злоумышленники постоянно сканируют интернет на наличие таких слабых мест. Поэтому оперативное применение исправлений остаётся одним из самых эффективных способов защиты.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2021-26829
- http://forum.scadabr.com.br/t/report-falhas-de-seguranca-em-versoes-do-scadabr/3615/4
