Cơ quan An ninh Cơ sở Hạ tầng và An ninh Mạng (CISA) đã chính thức cập nhật danh mục Known Exploited Vulnerabilities (KEV) của mình, bao gồm một lỗ hổng CVE nghiêm trọng trong OpenPLC ScadaBR. Việc bổ sung này xác nhận rằng các tác nhân đe dọa đang chủ động khai thác lỗ hổng này trong thực tế.

Phân Tích Kỹ Thuật Lỗ Hổng CVE-2021-26829

Lỗ hổng bảo mật này, được định danh là CVE-2021-26829, là một lỗ hổng Cross-Site Scripting (XSS). Nó nằm trong thành phần system_settings.shtm của ScadaBR. Mặc dù lỗ hổng đã được công bố từ vài năm trước, việc bổ sung vào danh mục KEV của CISA vào ngày 28 tháng 11 năm 2025 cho thấy sự tái bùng phát đáng lo ngại trong hoạt động khai thác nhằm vào các môi trường kiểm soát công nghiệp.

Cơ Chế Khai Thác Lỗ Hổng

CVE-2021-26829 cho phép kẻ tấn công từ xa chèn mã script web tùy ý hoặc HTML thông qua giao diện cài đặt hệ thống. Khi một quản trị viên hoặc người dùng được xác thực điều hướng đến trang đã bị xâm nhập, mã độc hại sẽ được thực thi trong phiên trình duyệt của họ. Đây là một điển hình của CWE-79 (Improper Neutralization of Input During Web Page Generation).

Tác Động và Rủi Ro Bảo Mật Đối Với Hệ Thống SCADA

Lỗ hổng này gây ra những rủi ro đáng kể cho các mạng Operational Technology (OT). OpenPLC được sử dụng rộng rãi cho nghiên cứu và triển khai tự động hóa công nghiệp, làm cho bề mặt tấn công trở nên đáng chú ý.

Khai thác thành công có thể cho phép kẻ tấn công chiếm quyền điều khiển các phiên người dùng, đánh cắp thông tin đăng nhập hoặc sửa đổi các cài đặt cấu hình quan trọng trong hệ thống SCADA.

Cảnh Báo Của CISA và Hướng Dẫn Khắc Phục

CISA đã chỉ ra rằng lỗ hổng CVE-2021-26829 có thể tác động đến các thành phần mã nguồn mở, thư viện của bên thứ ba hoặc các triển khai độc quyền được sử dụng bởi nhiều sản phẩm, gây khó khăn cho việc xác định đầy đủ phạm vi mối đe dọa.

Theo Chỉ thị Vận hành Ràng buộc (BOD) 22-01, CISA đã thiết lập một thời hạn khắc phục nghiêm ngặt cho các cơ quan thuộc Chi nhánh Điều hành Dân sự Liên bang (FCEB). Các cơ quan này được yêu cầu bảo mật mạng của họ khỏi lỗ hổng CVE-2021-26829 trước ngày 19 tháng 12 năm 2025. Thông tin chi tiết có tại: CISA Known Exploited Vulnerabilities Catalog.

Mặc dù CISA hiện chưa liên kết khai thác cụ thể này với các chiến dịch ransomware đã biết, cơ quan này cảnh báo rằng các hệ thống SCADA chưa được vá vẫn là mục tiêu có giá trị cao cho các tác nhân đe dọa tinh vi.

Khuyến Nghị và Biện Pháp Phòng Ngừa

Các nhóm bảo mật và quản trị viên mạng được khuyến nghị ưu tiên thực hiện các hành động sau để chống lại nguy cơ khai thác lỗ hổng:

• Kiểm tra các bản ghi hệ thống để tìm dấu hiệu xâm nhập hoặc hoạt động bất thường liên quan đến CVE-2021-26829.
• Đảm bảo tất cả các phiên bản OpenPLC ScadaBR được cập nhật lên phiên bản mới nhất đã vá lỗ hổng này.
• Triển khai các biện pháp kiểm soát an ninh mạng bổ sung, như tường lửa ứng dụng web (WAF) hoặc các giải pháp lọc nội dung để phát hiện và ngăn chặn các cuộc tấn công XSS.
• Thực hiện phân đoạn mạng nghiêm ngặt để giới hạn quyền truy cập vào các hệ thống OT và SCADA chỉ cho các máy chủ và người dùng cần thiết.
• Thường xuyên đào tạo người dùng về nhận thức bảo mật, đặc biệt là về các mối đe dọa phishing và các kỹ thuật tấn công dựa trên trình duyệt.
• Xem xét chi tiết về bản vá lỗi trên GitHub của dự án Scada-LTS để hiểu rõ hơn về các thay đổi mã nguồn. Có thể tìm thấy tại: Scada-LTS GitHub Pull Requests.

Việc chủ động khắc phục lỗ hổng CVE-2021-26829 là yếu tố then chốt để bảo vệ các hệ thống kiểm soát công nghiệp khỏi các cuộc tấn công tiềm tàng.