Главная
XSS на минималках, хаос на максималках
Как баг CVE-2021-26829 стал любимой кнопкой «вскрыть всё» у хактивистов
CISA снова пополнила свой список «дырок, которые уже жмут в продакшене», добавив в KEV старый, но бодро эксплуатируемый XSS-баг CVE-2021-26829 в OpenPLC ScadaBR. Уязвимость не новая, CVSS — посредственный, но зато активно юзается всеми, кому не лень, особенно теми, кто думает, что водокачка — идеальная сцена для их кибер-шоу.
Баг живёт в system_settings.shtm и уверенно открывает браузеру окно для XSS-выкрутасов как на Windows-версиях ScadaBR до 1.12.4, так и на Linux-сборках до 0.9.1. Казалось бы — классика. Но дальше история становится веселей.
По данным Forescout, хактивистский бренд TwoNet (те самые, что раньше долбили DDoS на заказ, а теперь считают себя мастерами индустриального хаоса) в сентябре 2025 нарвался на honeypot, приняв его за водоочистную станцию. Ситуация развивалась по лучшим канонам скрипт-киддизма: зашли по дефолтным логинам, побродили, создали кринжовый аккаунт BARLATI, потом бахнули XSS, чтобы на HMI красовалось «Hacked by Barlati», и начали рубить логи с алармами — даже не подозревая, что ломают ловушку и весь их перформанс записывается на камеру.
Серьезных попыток уйти в привилегии или ковырять хост не было — ребята работали строго по поверхности, будто пробуют демку новой игры, а не ломают критическую инфраструктуру. TwoNet вообще стремительно эволюционирует: начинали с DDoS, а теперь радуют мир RaaS-наборчиками, продажей доступов и громкими заявлениями про «мы тут теперь еще и ICS ломаем». Пиар-отдел, конечно, старается.
CISA в ответ включила режим «хватит терпеть» и обязала госагентства закрыть дыру до 19 декабря 2025. И правильно — если вчера кто-то просто рисовал «BARLATI был здесь», завтра могут отключить полгорода от воды «ради контента».
Но сюр на этом не заканчивается. VulnCheck заметил, что в параллель кто-то гоняет уже год как минимум OAST-инфраструктуру на Google Cloud и через нее фигачит по более чем 200 CVE, особенно по бразильскому региону. Около 1400 попыток зафичены сенсорами. Трафик маскируется под обычный Nuclei-скан, но выбор payload’ов и региональная направленность намекают, что это не просто очередной «запустил шаблон и ушел за пивом».
Бонусом нашлась Java-класска TouchFile.class на IP 34.136.22.26, заточенная под расширенный эксплойт Fastjson RCE — принимает команды через URL, выполняет, вызывает внешки. Автоматизация уровня «сделай красиво сама».
Всё это подтверждает старую истину: как только появляется хоть что-то, что можно массово долбить без мозга и последствий — его будут долбить. А со стороны будет казаться, что интернет превратился в гигантскую арену, где сканеры сражаются с админами, а ICS-системы стали NPC с очень низким уровнем брони.
