A CISA (Agência de Segurança Cibernética e de Infraestrutura dos EUA) adicionou uma vulnerabilidade de cross-site scripting (XSS) no ScadaBR, um sistema amplamente utilizado em ambientes de automação industrial, à sua lista de falhas ativamente exploradas. A inclusão ocorreu após relatos de ataques reais utilizando esse vetor. A falha, catalogada como CVE-2021-26829, afeta tanto a versão para Windows (até a 1.12.4) quanto a de Linux (até a 0.9.1) do ScadaBR, especificamente no componente “system_settings.shtm”.
A exploração permite a injeção de scripts maliciosos na interface web, podendo levar à manipulação da visualização de dados, inserção de comandos e desativação de funções críticas do sistema. Segundo registros do incidente, um grupo identificado como TwoNet conseguiu invadir um ambiente industrial acessando a interface com credenciais padrão, criando um novo usuário com permissões elevadas e explorando a falha XSS para manipular a tela do operador e esconder suas ações. Durante a invasão, o sistema teve os alarmes e os logs desativados e passou a exibir a mensagem “Hacked by Barlati”. A CISA deu prazo até 19 de dezembro de 2025 para que as agências federais dos EUA corrijam ou mitiguem a vulnerabilidade.
Embora o ataque não tenha envolvido técnicas complexas, o uso da falha para afetar diretamente a operação de um sistema SCADA destaca o risco associado à negligência em práticas básicas de segurança. Esse tipo de vulnerabilidade, apesar de ser classificada como comum, ainda representa um grande risco em sistemas industriais conectados, onde a exploração pode ter impacto direto na produção, segurança física ou continuidade de operações essenciais. A entrada da falha no catálogo KEV reforça o alerta de que sistemas industriais legados e com pouca manutenção continuam sendo alvos de ataques oportunistas e que a superfície de ataque digital nesse setor segue altamente exposta.
