Trusted Design

解説:

CVE-2021-26829に関する調査結果を以下に解説します。

1. 脆弱性の概要

CVE-2021-26829は、OpenPLC ScadaBRにおける格納型クロスサイトスクリプティング（XSS）の脆弱性です。この脆弱性は、悪意のあるスクリプトがウェブサイトやアプリケーションに挿入され、ターゲットサーバーに永続的に保存されることで発生します。ユーザーがスクリプトが挿入されたページにアクセスすると、そのスクリプトがブラウザで実行されます。

この脆弱性の技術的な根本原因は、OpenPLC ScadaBRアプリケーションのsystem_settings.shtmページにおける不適切な入力検証（サニタイズ）にあります。

1.1 影響

攻撃者は、この脆弱性を悪用して、管理者または他のユーザーがシステム設定ページにアクセスした際に、悪意のあるJavaScriptコードをユーザーのブラウザで実行させることができます。これにより、セッションハイジャック、アカウントの乗っ取り、悪意のあるサイトへのリダイレクト、またはアプリケーションの改ざんにつながる可能性があります。

特に、産業用制御システム（ICS）やオペレーショナルテクノロジー（OT）環境でWebベースのHMI（Human-Machine Interface）がプロセス制御に利用されている場合、この脆弱性はシステムの改ざん、HMIログインページの改ざん、アラームやログの無効化など、重大な影響を及ぼす可能性があります。

1.2 深刻度

CVE-2021-26829のCVSS v3.1スコアは5.4で、中程度の深刻度と評価されています。米CISA（サイバーセキュリティ・インフラセキュリティ庁）は、この脆弱性が実際に悪用されていることを確認し、「既知の悪用された脆弱性カタログ（KEV）」に追加しています。このカタログへの追加は、緊急性が高いことを示唆しており、特に信頼できないネットワークやユーザーに公開されているシステムでは、可能な限り迅速にパッチを適用すべきとされています。

2. 対象となる環境

2.1 影響を受けるOSバージョン

この脆弱性の影響を受けるのは、OpenPLC ScadaBRです。 具体的には以下のバージョンが影響を受けます。

• Linux上のOpenPLC ScadaBR バージョン0.9.1まで
• Windows上のOpenPLC ScadaBR バージョン1.12.4まで

CISAは、これらの製品を利用したサードパーティのコンポーネント、ライブラリ、およびアプリケーションも影響を受ける可能性があるとして注意を呼びかけています。

2.2 影響を受ける設定

system_settings.shtmページにおける不適切な入力検証が脆弱性の原因であるため、この設定画面にアクセス可能な環境が影響を受けます。攻撃者は、この脆弱性を悪用するために認証された低権限ユーザーである必要がありますが、一度認証されれば悪意のあるスクリプトをWebインターフェースに注入することが可能です。

3. 影響を受けた時の兆候

この脆弱性が悪用された際の兆候としては、以下が挙げられます。

• OpenPLC ScadaBR設定の予期しない変更
• ユーザーアカウントへの不正アクセス
• ユーザーが不審なまたは悪意のあるウェブサイトにリダイレクトされる
• システム設定ページに通常ではないJavaScriptコードが存在する
• system_settings.shtmを含むHTTPリクエストに不審なJavaScriptコードが含まれる
• HMIログインページの改ざん（例: ポップアップメッセージの表示）
• ログやアラームの無効化

4. 推奨対策

4.1 本対策

CISAは、ベンダーの指示に従って必要な修正を適用することを推奨しています。影響を受けるバージョンのOpenPLC ScadaBRを使用している場合は、最新の修正が適用されたバージョンにアップグレードすることが不可欠です。

• Linux版: OpenPLC ScadaBR 0.9.1より後のバージョンにアップグレードする。
• Windows版: OpenPLC ScadaBR 1.12.4より後のバージョンにアップグレードする。

4.2 暫定回避策（緩和策）

• 強固な認証情報の使用と権限の見直し: HMIやWeb管理画面でデフォルト認証情報を使用していないか確認し、強固な固有パスワードへの変更と権限の見直しを行うことが重要です。
• ログとアラームの監視: 攻撃者がログとアラームを無効化する事例が確認されているため、ログ取得とアラート設定が適切に機能しているかを点検し、監視を強化することが推奨されます。
• アクセス制御の強化: インターネット経由でアクセス可能なICS関連Webサービスについて、不審なHTTPリクエストや外部OAST（Out-of-Band Application Security Testing）ドメインへの通信がないか監視を強化する必要があります。
• システムへのアクセス制限: 認証されたユーザーによるXSS注入を防ぐため、システム設定ページへのアクセスを信頼できるユーザーに限定し、可能な限りアクセス元IPアドレスを制限するなどの対策も考えられます。

参照したサイト

• CVE-2021-26829 - CVE Details & Analysis | SOCRadar Labs CVE Radar
• CVE-2021-26829 Detail - NVD
• CISA、OpenPLC ScadaBRのXSS脆弱性（CVE-2021-26829）をKEVカタログに追加 | Codebook
• CISA Issues Urgent Alert on ScadaBR CVE-2021-26829 Vulnerability Exploited by Hacktivists in ICS Attack - Rescana
• CVE-2021-26829 : OpenPLC ScadaBR through 0.9.1 on Linux and through 1.12.4 on Windows allows stor - CVE Details
• CVE-2021-26829 - CVE Record
• CVE-2021-26829 | Tenable®
• 産業用OpenPLC ScadaBRに2つの既知悪用脆弱性、CVE-2021-26829 と CVE-2021-26828がCISA KEV入り - サイバークルー
• 米当局、工場設備向け「ScadaBR」のXSS脆弱性悪用を警告 - Security NEXT
• CISA Warns of ScadaBR Vulnerability After Hacktivist ICS Attack - SecurityWeek
• U.S. CISA adds an OpenPLC ScadaBR flaw to its Known Exploited Vulnerabilities catalog
• CISA 警告OpenPLC ScadaBR 跨站脚本漏洞（CVE-2021-26829）正遭攻击者利用 - 51CTO
• 美国CISA已将OpenPLC ScadaBR系统中正遭积极利用的XSS漏洞（CVE-2021-26829）列入其关键漏洞目录 - 安全客
• 【漏洞預警】CISA新增1個已知遭駭客利用之漏洞至KEV目錄(2025/11/24-2025/11/30)(CVE-2021-26829) - 雲嘉區域網路中心
• 【漏洞預警】CISA新增1個已知遭駭客利用之漏洞至KEV目錄(2025/11/24-2025/11/30)(CVE-2021-26829) - 海洋大學資安情資分享專區
• 資安警訊 - 長庚大學
• CISA Includes Actively Exploited XSS Vulnerability CVE-2021-26829 in OpenPLC ScadaBR to KEV : r/pwnhub - Reddit
• CISA警告OpenPLC ScadaBR之CVE-2021-26829 XSS漏洞遭駭客積極利用
• 11/24至11/30 Known Exploited Vulnerabilities Catalog(KEV)週報 - 逢甲大學

---

注記: 検索結果にはMicrosoft Exchange ServerのProxyLogon脆弱性（CVE-2021-26855など）に関する情報も含まれていましたが、CVE-2021-26829はOpenPLC ScadaBRに特化した脆弱性であるため、混同しないよう注意してまとめました。