# CVE-2021-26828 - ScadaBR (OpenPLC) — Upload de Arquivo JSP e Execução Remota de Código > [!high] P1 — ALTO | CVSS 8.8 | CISA KEV | RCE em Sistema ICS/SCADA > Vulnerabilidade de upload irrestrito de arquivo no ScadaBR permite que usuários autenticados façam upload e executem arquivos JSP arbitrários, resultando em execução remota de código. Relevante para infraestruturas ICS/SCADA industriais. **CVSS:** 8.8 (Alto) · **Vendor:** OpenPLC/ScadaBR · **Patch:** Disponível · **CISA KEV:** 2025-12-10 ## Resumo **CVE-2021-26828** é uma vulnerabilidade de upload irrestrito de arquivo (CWE-434) no ScadaBR, plataforma SCADA de código aberto baseada no OpenPLC. A falha permite que usuários autenticados com quaisquer permissões façam upload de arquivos JSP maliciosos através do endpoint `/view_edit.shtm` e os executem no servidor, obtendo assim execução remota de código (RCE) no contexto do processo do servidor de aplicação. A vulnerabilidade afeta versões do ScadaBR até 0.9.1 no Linux e até 1.12.4 no Windows. Foi publicada em junho de 2021 e adicionada ao catálogo CISA KEV em dezembro de 2025, indicando exploração ativa contínua em ambientes industriais. **Pontuação de risco:** - CVSS v3.1: **8.8** (Alto) - Requer: autenticação com baixo privilégio (PR:L) - CISA KEV: Adicionado em 2025-12-10 - Contexto ICS/SCADA: impacto potencial em infraestrutura crítica ## Impacto Técnico Um atacante autenticado com qualquer nível de acesso ao ScadaBR pode: - **Execução de código remoto:** fazer upload de JSP webshell via `/view_edit.shtm` e executar comandos no servidor - **Comprometimento total do SCADA:** acesso a dados de processo industrial, históricos, setpoints - **Sabotagem industrial:** modificação de lógica de controle ou dados de processo - **Movimento lateral:** usar o servidor SCADA como pivô para comprometer outros sistemas OT/ICS - **Persistência:** instalar backdoors persistentes no servidor de automação **Impacto para organizações LATAM/Brasil:** O ScadaBR é amplamente utilizado na indústria brasileira, especialmente em [[market/sectors/energia|energia]], [[market/sectors/saude|saúde]] e manufatura de médio porte, por ser de código aberto e gratuito. Comprometimento de sistemas SCADA pode resultar em parada de produção, danos a equipamentos ou, em casos extremos, risco à segurança física. ## Produtos Afetados | Vendor | Produto | Versão Afetada | Versão com Fix | |--------|---------|----------------|----------------| | OpenPLC/ScadaBR | ScadaBR (Linux) | ≤ 0.9.1 | Versão atualizada | | OpenPLC/ScadaBR | ScadaBR (Windows) | ≤ 1.12.4 | Versão atualizada | ## Patch e Mitigação **Patch oficial:** - Atualizar para a versão mais recente do ScadaBR/OpenPLC - Consultar: [ScadaBR GitHub](https://github.com/ScadaBR/ScadaBR) **Mitigações imediatas:** - Restringir acesso ao ScadaBR exclusivamente à rede OT/ICS isolada - Implementar autenticação multifator para acesso ao sistema - Revisar e remover contas de usuário desnecessárias - Monitorar uploads de arquivos no sistema - Segmentar a rede SCADA da rede corporativa (air gap ou VLAN dedicada) ## Exploração Ativa **Status atual:** Exploração ativa confirmada — adicionado ao CISA KEV em 2025-12-10 **Evidências:** - CISA KEV: Adicionado em dezembro de 2025, indicando exploração ativa em ambientes industriais ## CISA KEV Esta vulnerabilidade foi adicionada ao **CISA Known Exploited Vulnerabilities (KEV) Catalog** em 2025-12-10. - **Contexto:** Vulnerabilidade em sistema SCADA/ICS com exploração ativa confirmada - **Referência:** [CISA KEV - CVE-2021-26828](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) ## Métricas CVSS v3.1 | Métrica | Valor | |---------|-------| | Base Score | 8.8 (Alto) | | Vetor de Ataque | Rede (Network) | | Complexidade | Baixa (Low) | | Privilégios Necessários | Baixo (Low) | | Interação do Usuário | Nenhuma (None) | | Escopo | Inalterado (Unchanged) | | Impacto Confidencialidade | Alto (High) | | Impacto Integridade | Alto (High) | | Impacto Disponibilidade | Alto (High) | ## Contexto de Ameaça Sistemas SCADA são alvos de alta prioridade para grupos APT com foco em infraestrutura crítica e operações de espionagem industrial. A técnica [[T1190 - Exploit Public-Facing Application|T1190]] combinada com [[T1505.003 - Web Shell|T1505.003]] (upload de webshell) é característica de campanhas contra ICS/OT. ### TTPs MITRE ATT&CK - [[T1190 - Exploit Public-Facing Application|T1190]] — Exploração de aplicação voltada ao público - [[T1505.003 - Web Shell|T1505.003]] — Implantação de Web Shell via upload de arquivo ## Relevância LATAM/Brasil O ScadaBR foi desenvolvido no Brasil e tem forte adoção na indústria nacional, especialmente em setores de [[market/sectors/energia|energia]], manufatura e [[market/sectors/saude|saúde]]. A CISA não é a única organização monitorando esta vulnerabilidade — o CERT.br e o CTIR Gov acompanham ameaças a ICS/SCADA nacionais. ## IoCs | Tipo | Valor | Fonte | Confiança | |------|-------|-------|-----------| | — | Não disponíveis publicamente | — | — | ## Referências - [NVD - CVE-2021-26828](https://nvd.nist.gov/vuln/detail/CVE-2021-26828) - [CISA KEV Catalog](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [ScadaBR GitHub](https://github.com/ScadaBR/ScadaBR) ## Notas Relacionadas **CVEs relacionados:** [[cve-2021-26829|CVE-2021-26829]] **TTPs relacionadas:** [[T1190 - Exploit Public-Facing Application]] · [[T1505.003 - Web Shell]] **Setores em risco:** [[energia]] · [[saude]] · Infraestrutura crítica · [[governo]]