CISA has added CVE-2021-26829
(OpenPLC/ScadaBR XSS) to the Known Exploited Vulnerabilities Catalog.

XSS vulnerabilities in ICS/SCADA environments remain a dependable avenue for attackers, and CISA is urging organizations - not just federal - to prioritize remediation.

How does your team track and respond to KEV updates?

Source: https://www.cisa.gov/news-events/alerts/2025/11/28/cisa-adds-one-known-exploited-vulnerability-catalog

🔔 Follow TechNadu for balanced, non-sensational cybersecurity coverage.

#infosec #CISA #KEV #ICS #SCADA #OpenPLC #OTSecurity #XSS #vulnerabilitymanagement #riskmanagement #cybersecuritynews #threatintel

Vulnerabilità critica in OpenPLC ScadaBR: CISA avverte di attacchi attivi

Il Cybersecurity and Infrastructure Security Agency (CISA), ha ampliato la lista delle vulnerabilità sfruttate (KEV), segnalando una nuova vulnerabilità che interessa OpenPLC ScadaBR, a causa di indizi di sfruttamento attivi in corso.

USi tratta della falla di sicurezza, identificata come CVE-2021-26829 con un punteggio CVSS di 5,4, interessa le versioni del software su Windows e Linux, a causa di una vulnerabilità di cross-site scripting (XSS) nella pagina system_settings.shtm.

Poco più di un mese dopo la segnalazione di Forescout riguardo alla scoperta di un gruppo di hacktivisti filo-russi, noto come TwoNet, che aveva preso di mira il suo honeypot nel settembre 2025, scambiandolo per un impianto di trattamento delle acque, il difetto di sicurezza è stato aggiunto al catalogo KEV.

Le versioni interessate comprendono:

• OpenPLC ScadaBR fino alla versione 1.12.4 su Windows
• OpenPLC ScadaBR fino alla versione 0.9.1 su Linux

“L’aggressore non ha tentato di escalare i privilegi o di sfruttare l’host sottostante, concentrandosi esclusivamente sul livello dell’applicazione web dell’HMI”, ha affermato Forescout.

Come riportano i ricercatori, il gruppo TwoNet ha iniziato le sue operazioni su Telegram all’inizio di gennaio, concentrandosi inizialmente sugli attacchi DDoS (Distributed Denial of Service), prima di passare a una serie più ampia di attività, tra cui il targeting di sistemi industriali, il doxxing e offerte commerciali come il ransomware-as-a-service (RaaS), l’hack-for-hire e l’intermediazione di accesso iniziale.

Il processo di distribuzione dell’impianto esca ha rivelato che l’autore dell’attacco ha impiegato circa 26 ore per passare dalla fase di accesso iniziale a quella di azione dirompente. In questo lasso di tempo, ha sfruttato credenziali predefinite per guadagnare l’accesso iniziale al sistema. Successivamente, ha condotto attività di ricognizione e instaurato la persistenza, tra le altre azioni, creando un nuovo account utente di nome “BARLATI“.

I malfattori hanno sfruttato la vulnerabilità CVE-2021-26829 per alterare la descrizione della pagina di accesso dell’HMI e visualizzare un messaggio pop-up “Hacked by Barlati”, inoltre hanno modificato le impostazioni di sistema in modo da disabilitare i registri e gli allarmi, senza rendersi conto di stare violando un sistema honeypot.

Si è scoperto che i tentativi di sfruttamento provengono dall’infrastruttura Google Cloud con sede negli Stati Uniti, il che dimostra come i malintenzionati stiano utilizzando come armi i servizi Internet legittimi per eludere il rilevamento e confondersi con il normale traffico di rete.

“Abbiamo osservato circa 1.400 tentativi di exploit che hanno interessato più di 200 CVE collegati a questa infrastruttura”, ha affermato Jacob Baines, CTO di VulnCheck . “Sebbene la maggior parte dell’attività assomigliasse ai template standard di Nuclei, le scelte di hosting, i payload e il targeting regionale dell’aggressore non erano in linea con il tipico utilizzo di OAST.”

L'articolo Vulnerabilità critica in OpenPLC ScadaBR: CISA avverte di attacchi attivi proviene da Red Hot Cyber.

Reading up on the Citrix vulnerabilities that impacted Dutch government, especially the public prosecutor service (“het OM”), this summer.

The only good news for the Dutch from @GossiTheDog’s blog:

> NCSC Netherlands have a rather cool report out about CVE-2025–6543, where they’ve essentially done Citrix’s job for them. I recommend reading their report. It’s really good.

> NCSC Netherlands are gods amongst cyber.

https://doublepulsar.com/citrix-forgot-to-tell-you-cve-2025-6543-has-been-used-as-a-zero-day-since-may-2025-d76574e2dd2c

#ncsc #citrix #openbaarministerie

Security researchers warn of vulnerability in the node-forge JavaScript library

Vulnerability:
CVE-2025-12816 - Improper validation

Impact: Allows unauthenticated attackers to bypass cryptographic verifications and security decisions

Recommendation: Update to version 1.3.2 ASAP

#cybersecurity #vulnerabilitymanagement #NodeForge

https://www.bleepingcomputer.com/news/security/popular-forge-library-gets-fix-for-signature-verification-bypass-flaw/

Asus has released software updates to address a critical vulnerability in its AiCloud routers

Vulnerability:
CVE-2025-59366 - path traversal and OS command injection

Impact:
- Can allow a attacker to remotely execute OS commands

Recommendation: Apply patches ASAP

#cybersecurity #vulnerabilitymanagement #Asus

https://www.bleepingcomputer.com/news/security/asus-warns-of-new-critical-auth-bypass-flaw-in-aicloud-routers/

🔔 HIGH severity: CVE-2025-66423 hits Tryton trytond (6.0.0–7.5.0). Incorrect authorization on HTML editor route risks sensitive ERP data. Upgrade ASAP to 7.6.11, 7.4.21, 7.0.40, or 6.0.70. https://radar.offseq.com/threat/cve-2025-66423-cwe-863-incorrect-authorization-in--5b710efe #OffSeq #Tryton #CVE202566423 #ERP

🔒 CRITICAL: CVE-2025-13615 in StreamTube Core (≤4.78) allows unauthenticated password resets—including admins—if 'registration password fields' is enabled. Disable feature & monitor for patches! Details: https://radar.offseq.com/threat/cve-2025-13615-cwe-639-authorization-bypass-throug-06fc0649 #OffSeq #WordPress #CVE202513615 #Vuln