CVE-2021-26829 Vulnerabilità Critica in Sistemi SCADA OpenPLC

La vulnerabilità CVE-2021-26829 rappresenta una delle minacce più critiche per i sistemi SCADA industriali degli ultimi anni. Questa falla di sicurezza, scoperta nel software OpenPLC ScadaBR, ha dimostrato come anche una vulnerabilità apparentemente semplice possa avere impatti devastanti sulle infrastrutture critiche quando viene sfruttata da gruppi di attaccanti organizzati.

Cos’è la vulnerabilità CVE-2021-26829

CVE-2021-26829 è una vulnerabilità di tipo stored cross-site scripting (XSS) che colpisce OpenPLC ScadaBR, una piattaforma open source utilizzata per il controllo e monitoraggio di sistemi industriali. La falla è presente nelle seguenti versioni:

• Versioni fino alla 0.9.1 su sistemi Linux
• Versioni fino alla 1.12.4 su sistemi Windows

La vulnerabilità è localizzata specificamente nella pagina system_settings.shtm, che gestisce le configurazioni di sistema del software SCADA. A differenza delle vulnerabilità XSS riflesse, questa falla di tipo “stored” permette agli attaccanti di iniettare codice maligno che viene memorizzato permanentemente nel database del sistema, rendendolo particolarmente pericoloso.

Il funzionamento della vulnerabilità è relativamente semplice ma efficace: un attaccante può inserire script JavaScript maligni attraverso i campi di input delle impostazioni di sistema, che vengono poi eseguiti automaticamente ogni volta che un amministratore accede alla pagina compromessa.

Impatti e rischi della vulnerabilità

L’impatto di CVE-2021-26829 sui sistemi industriali può essere devastante. Gli attaccanti che sfruttano questa vulnerabilità possono:

Dirottamento delle sessioni utente

Attraverso l’iniezione di script maligni, gli attaccanti possono rubare i cookie di sessione degli amministratori, ottenendo così accesso completo al sistema SCADA. Questo permette loro di:

• Accedere a dati sensibili sui processi industriali
• Modificare parametri operativi critici
• Disabilitare sistemi di sicurezza
• Interrompere le operazioni produttive

Manipolazione delle configurazioni critiche

Una volta ottenuto l’accesso amministrativo, gli attaccanti possono modificare le configurazioni del sistema SCADA per causare malfunzionamenti controllati o per mantenere persistenza nell’ambiente compromesso.

Sfruttamento attivo da parte di gruppi ostili

La gravità di CVE-2021-26829 è stata dimostrata dal suo sfruttamento attivo documentato negli anni 2023-2024. Il gruppo hacktivista filo-russo TwoNet ha utilizzato questa vulnerabilità per condurre attacchi mirati contro infrastrutture critiche occidentali.

Casi di attacco documentati

Gli attacchi più significativi hanno preso di mira:

• Impianti di trattamento acque: TwoNet ha compromesso sistemi SCADA responsabili del controllo della qualità e distribuzione dell’acqua
• Sistemi di controllo industriale: Altri settori critici sono stati colpiti per causare interruzioni operative
• Infrastrutture energetiche: Alcuni attacchi hanno mirato a sistemi di controllo nella distribuzione energetica

Questi attacchi non hanno avuto solo obiettivi di sabotaggio, ma anche di propaganda, con TwoNet che ha cercato visibilità mediatica per le proprie azioni come forma di guerra informatica.

Risposta di CISA e misure governative

La gravità della situazione ha spinto la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ad agire rapidamente. CVE-2021-26829 è stata inclusa nel catalogo Known Exploited Vulnerabilities (KEV), una lista che identifica le vulnerabilità più pericolose e attivamente sfruttate.

Direttive per le agenzie federali

CISA ha imposto alle agenzie federali statunitensi un termine perentorio per l’applicazione delle patch:

• Scadenza: 19 dicembre 2025
• Azione richiesta: Aggiornamento obbligatorio a versioni non vulnerabili
• Conseguenze: Possibili sanzioni per il mancato rispetto della direttiva

Questa misura sottolinea quanto sia considerata critica la vulnerabilità dalle autorità di sicurezza informatica americane.

Strategie di mitigazione e protezione

Per proteggere i sistemi dall’exploit di CVE-2021-26829, le organizzazioni devono implementare una strategia di difesa a più livelli:

Aggiornamenti software prioritari

La misura più importante e immediata consiste nell’aggiornare OpenPLC ScadaBR alle versioni successive a quelle vulnerabili:

• Su Linux: aggiornare oltre la versione 0.9.1
• Su Windows: aggiornare oltre la versione 1.12.4

Implementazione di controlli di sicurezza degli input

Anche dopo l’aggiornamento, è fondamentale implementare misure aggiuntive di sicurezza:

• Validazione degli input: Verificare che tutti i dati inseriti rispettino formati predefiniti
• Sanitizzazione dei dati: Rimuovere o neutralizzare caratteri potenzialmente maligni
• Encoding dell’output: Assicurarsi che i dati visualizzati non possano essere interpretati come codice

Adozione delle linee guida CISA

CISA ha pubblicato specifiche raccomandazioni per la gestione delle vulnerabilità nei sistemi critici che includono:

• Implementazione di un programma di gestione delle vulnerabilità
• Monitoraggio continuo degli asset critici
• Segmentazione della rete per limitare l’impatto di eventuali compromissioni
• Implementazione di controlli di accesso rigorosi

CVE-2021-26829 rappresenta un esempio perfetto di come una vulnerabilità relativamente semplice possa trasformarsi in una minaccia globale quando colpisce sistemi critici. Lo sfruttamento documentato da parte di gruppi hacktivisti come TwoNet dimostra che le infrastrutture industriali sono diventate obiettivi primari della guerra informatica moderna. La risposta rapida di CISA e l’inclusione nel catalogo KEV evidenziano l’urgenza di proteggere questi sistemi vitali. Le organizzazioni che operano sistemi SCADA devono considerare CVE-2021-26829 non solo come una vulnerabilità tecnica da correggere, ma come un campanello d’allarme sulla necessità di implementare strategie di sicurezza informatica complete e aggiornate per proteggere le infrastrutture critiche da attacchi sempre più sofisticati e mirati.