漏洞概況

美國網絡安全和基礎設施安全局（CISA）已正式將OpenPLC ScadaBR的一個關鍵漏洞納入其已知被利用漏洞（KEV）目錄，確認威脅攻擊者正在實際攻擊中利用該漏洞。該安全缺陷編號為CVE-2021-26829，是存在于ScadaBR系統system_settings.shtm組件中的跨站腳本（XSS）漏洞。雖然該漏洞早在數年前就已披露，但CISA于2025年11月28日將其列入KEV目錄，表明針對工業控制環境的漏洞利用活動正呈現令人擔憂的抬頭趨勢。

技術細節

該漏洞允許遠程攻擊者通過系統設置界面注入任意網頁腳本或HTML代碼。當管理員或認證用戶訪問被篡改的頁面時，惡意腳本將在其瀏覽器會話中執行。該漏洞被歸類為CWE-79（網頁生成期間輸入數據凈化不充分），對運營技術（OT）網絡構成重大風險。

成功利用該漏洞可使攻擊者劫持用戶會話、竊取憑證或修改SCADA系統中的關鍵配置。鑒于OpenPLC被廣泛用于工業自動化研究和實施，其攻擊面相當可觀。CISA指出，該漏洞可能影響各類產品中使用的開源組件、第三方庫或專有實現，因此難以全面界定威脅范圍。

修復要求

根據第22-01號強制性操作指令（BOD），CISA已為聯邦民事行政部門（FCEB）機構制定了嚴格的修復時間表，要求這些機構在2025年12月19日前完成對CVE-2021-26829漏洞的防護工作。

雖然CISA目前尚未將該漏洞利用與已知勒索軟件活動相關聯，但該機構警告稱，未打補丁的SCADA系統仍是高級威脅攻擊者的高價值目標。

緩解措施

安全團隊和網絡管理員應優先采取以下行動：

• 應用緩解措施：立即實施供應商提供的補丁或配置變更
• 審查第三方使用情況：確認網絡中其他工具是否嵌入了存在漏洞的ScadaBR組件
• 停止使用：若無法實施緩解措施，CISA建議停止使用該產品以避免入侵

建議各組織查閱GitHub上的修復代碼拉取請求（Scada-LTS/Scada-LTS）以獲取代碼級詳細信息。