Quatro vulnerabilidades no ScadaBR 1.2.0, incluindo uma com CVSS 9,1 que permite execução remota de código sem autenticação, expõem sistemas de infraestrutura crítica no mundo inteiro. A CISA alertou que o fabricante não respondeu a pedidos de correção. O sistema, usado em represas, energia e tratamento de água, permanece sem patch disponível para quaisquer das falhas identificadas.
Como o ataque funciona
O ScadaBR é um sistema SCADA de código aberto usado para monitoramento e controle de processos industriais. A vulnerabilidade mais crítica, CVE-2026-8602 (CVSS 9,1), permite que qualquer invasor envie requisições HTTP GET sem autenticação para injetar leituras falsas de sensores no sistema de supervisão. Em ambientes de produção, isso significa que um operador pode tomar decisões baseadas em dados completamente falsos — como níveis de tanque, pressão de dutos ou temperatura de reatores.
A segunda falha, CVE-2026-8603 (CVSS 8,8), é uma injeção de comandos no sistema operacional que permite a um invasor autenticado executar comandos arbitrários como root no servidor SCADA. Combinada com a ausência de autenticação da primeira vulnerabilidade, um invasor remoto pode encadear as falhas para obter execução remota de código sem nenhuma credencial.
| CVE | CVSS | Tipo de vulnerabilidade | Impacto |
|---|---|---|---|
| CVE-2026-8602 | 9,1 | Ausência de autenticação (CWE-306) | Injeção de dados sem autenticação |
| CVE-2026-8603 | 8,8 | Injeção de comandos OS (CWE-78) | Execução de comandos como root |
| CVE-2026-8604 | 8,8 | CSRF (CWE-352) | Ações forçadas na sessão de usuário autenticado |
| CVE-2026-8605 | 6,1 | Credenciais fixas no código (CWE-798) | Acesso administrativo direto |
Sem correção disponível
A situação é agravada pelo fato de que o ScadaBR não respondeu aos pedidos de cooperação da CISA para desenvolver correções. O projeto, hospedado no GitHub, não recebe atualizações que mitiguem as falhas identificadas. Sem um patch oficial, as quatro vulnerabilidades permanecem abertas em todas as instalações da versão 1.2.0 do ScadaBR em operação no mundo.
As vulnerabilidades foram relatadas à CISA por pesquisadores da DREAM (Arad Inbar, Nir Somech, Ben Grinberg, Daniel Lubel, Erez Cohen e Adiel Sol). O sistema ScadaBR tem sede no Brasil e é implantado em instalações de manufatura crítica, represas, indústrias químicas, energia e tratamento de água e esgoto em escala global.
Risco para infraestrutura crítica
A combinação de ausência de autenticação, execução de comandos como root, credenciais fixas no código-fonte e CSRF cria uma superfície de ataque devastadora. Um invasor que alcance o servidor ScadaBR pela rede pode: ignorar completamente a autenticação para manipular dados de sensores, executar comandos no servidor como superusuário, acessar o sistema com credenciais administrativas embutidas e enganar operadores autenticados para executar ações maliciosas via CSRF.
Em operações de infraestrutura crítica, a manipulação de dados de sensores pode provocar desde desligamentos de emergência até falhas catastróficas em processos físicos. A execução de comandos como root no servidor SCADA abre caminho para movimentação lateral na rede industrial e persistência prolongada.
Medidas de mitigação
Sem correção oficial, as organizações que utilizam ScadaBR 1.2.0 devem implementar defesa em profundidade:
- Isolar completamente o servidor ScadaBR da internet e de redes corporativas, posicionando-o atrás de firewall dedicado em segmento de rede OT separado
- Implementar monitoramento de rede para detectar requisições HTTP não autenticadas direcionadas ao servidor ScadaBR
- Considerar a migração para uma plataforma SCADA com suporte ativo e correções de segurança regulares
- Restringir ao máximo o acesso físico e lógico ao servidor, permitindo conexões apenas de estações de operação conhecidas
- Realizar auditoria de logs em busca de acessos administrativos suspeitos que possam indicar exploração prévia via credenciais fixas (CVE-2026-8605)