尽管该漏洞早在数年前就已披露,但网络安全和基础设施安全局(CISA)将其纳入2025年11月28日发布的已知被利用漏洞(KEV)目录,显示出针对工业控制系统的漏洞利用活动正呈现令人警惕的上升态势。
漏洞概况
CISA已将OpenPLC与ScadaBR组件中存在的一个关键安全缺陷正式列入其已知被利用漏洞清单,确认威胁攻击者正在实际攻击中利用这一漏洞。该漏洞编号为CVE-2024-26829,源自ScadaBR系统system_settings.shtm组件中的跨站脚本(XSS)漏洞。虽然这个安全问题多年前就被曝光,但CISA此时将其纳入KEV目录,表明针对工控系统的漏洞利用正在持续活跃。
技术细节
该漏洞允许攻击者通过系统设置界面注入任意网页脚本或HTML代码。当管理员或授权用户访问被篡改的页面时,恶意脚本将在其浏览器会话中执行。这一漏洞被归类为CWE-79(网页生成期间输入数据净化不足),对运营技术网络构成严重威胁。
成功利用此漏洞可使攻击者劫持用户会话、窃取凭证或篡改SCADA系统中的关键配置。鉴于OpenPLC被广泛应用于工业自动化领域,其潜在影响范围相当可观。CISA特别指出,该漏洞可能影响各类产品中使用的开源组件、第三方库或专有实现,因此难以完全界定其威胁范围。
修复要求
根据第22-01号强制性操作指令要求,CISA已为联邦民事行政部门机构制定了严格的修复时间表,要求这些机构在2025年12月19日前完成对CVE-2024-26829漏洞的防护工作。
虽然CISA目前尚未将该漏洞与已知勒索软件活动相关联,但该机构警告称,未打补丁的SCADA系统仍是高级威胁攻击者的优先目标。
缓解措施
安全团队和网络管理员应当优先采取以下行动:立即实施供应商提供的补丁程序或配置变更方案;确认网络中是否存在嵌入含漏洞ScadaBR组件的其他工具,并停止使用这些组件;若确实无法实施有效缓解措施,CISA建议停止使用该产品以避免遭受入侵。
建议各单位查阅GitHub上的修复代码拉取请求,以获取详细的代码层级修复信息。
