La Cybersecurity and Infrastructure Security Agency statunitense (CISA) ha aggiornato il suo catalogo delle vulnerabilità note ed attivamente sfruttate (Known Exploited Vulnerabilities, KEV), includendo la vulnerabilità CVE-2021-26829 che riguarda OpenPLC ScadaBR. Questa vulnerabilità di tipo cross-site scripting (XSS) colpisce sia le versioni Windows fino alla 1.12.4 sia le versioni Linux fino alla 0.9.1, tramite il file system_settings.shtm, e rappresenta un rischio concreto perché già oggetto di attacchi reali.

L’attacco di TwoNet a un honeypot Forescout

L'inserimento di questa falla nel catalogo KEV segue un episodio recente in cui il gruppo hacktivista pro-russo TwoNet ha preso di mira un honeypot di Forescout, scambiandolo per un impianto reale di trattamento acque. In questa incursione, gli attaccanti hanno utilizzato credenziali di default per ottenere accesso iniziale, creato un nuovo account utente e sfruttato la vulnerabilità XSS per modificare elementi dell'interfaccia HMI, mostrando messaggi come “Hacked by Barlati” e disabilitando log e allarmi. Tutto ciò è avvenuto nell’arco di circa 26 ore, dimostrando l’efficacia di un attacco rapido e mirato sui sistemi SCADA esposti.

Evoluzione e strategie del gruppo hacktivista

TwoNet, attivo su Telegram da gennaio, è passato dagli attacchi DDoS a un ventaglio di attività più ampio, che comprende targeting di sistemi industriali, doxxing, offerte commerciali come ransomware-as-a-service e servizi di accesso iniziale. Il gruppo si affilia anche ad altri brand hacktivisti come CyberTroops e OverFlame, adottando strategie che mescolano tattiche web tradizionali e campagne a effetto mediatico contro infrastrutture industriali.

Obblighi di patching e altri attacchi osservati

In risposta allo sfruttamento attivo di CVE-2021-26829, le agenzie federali civili statunitensi sono state obbligate ad applicare le patch correttive entro il 19 dicembre 2025.

Parallelamente, la società VulnCheck ha osservato un'infrastruttura di Out-of-Band Application Security Testing (OAST) su Google Cloud, usata per operazioni di scansione exploit focalizzate sul Brasile. Sono stati rilevati circa 1400 tentativi di exploit su oltre 200 CVE differenti. Gli attacchi sfruttano servizi cloud legittimi per mascherare il traffico malevolo, rendendo più difficile l’individuazione. Tra i payload individuati, anche un file Java che permette esecuzione di comandi remoti sfruttando vulnerabilità note come quella di Fastjson.

Rischi crescenti e buone pratiche

Questa attività dimostra come gruppi malevoli si avvalgano di strumenti automatizzati come Nuclei per identificare e compromettere asset vulnerabili su vasta scala, puntando sempre più su infrastrutture critiche e servizi cloud. La tempestività nell’applicazione delle patch e l’attenta gestione delle credenziali rimangono fondamentali per prevenire compromissioni di sistemi SCADA e industriali.