Агентство по кибербезопасности и защите инфраструктуры (CISA) предупреждает всех пользователей GrassMarlin — инструмента, разработанного Агентством национальной безопасности (NSA), — о новой уязвимости, которую злоумышленники могут использовать для шпионажа за конфиденциальной информацией.
О слабом месте, о котором впервые сообщил Грейди ДеРоса, старший специалист по промышленному пентестингу в Dragos, сообщается, что оно затрагивает все версии GrassMarlin — инструмента, разработанного и опубликованного NSA с открытым исходным кодом для поддержки сетевой безопасности в организациях критической инфраструктуры, промышленных системах управления и сетях SCADA.
Поддержка GrassMarlin была прекращена в 2017 году, поэтому исправления не разрабатываются. CISA лишь рекомендует обеспечить, чтобы системы управления и устройства не были доступны через открытый интернет, сетевые экраны и устройства были изолированы от корпоративных сетей, а удаленный доступ осуществлялся безопасно.
CISA, как это обычно бывает, не предоставила слишком много подробностей относительно CVE-2026-6807 (5.5), но подтвердила, что успешная эксплуатация может привести к раскрытию конфиденциальной информации.
Однако во введении, опубликованном во вторник, говорится: «Недостаточная защита процесса разбора XML лежит в основе этой уязвимости».
Подобные типы атак (CWE-611) затрагивают продукты, обрабатывающие XML-файлы. GrassMarlin в основном использует формат XML для сохранения файлов сеансов, используя множество файлов для сохранения различных типов данных, включая списки узлов и ребер, позиционирование узлов, цвета и метаданные сеанса, перед тем как упаковать их в ZIP-архив и сохранить с расширением .gm3.
Такие атаки, часто называемые атаками типа «Внешняя сущность XML» (XML External Entity, XXE), обычно включают обман владельца системы с целью разбора злонамеренно созданного XML-файла, который был изменен для эксфильтрации данных.
Это общий обзор того, как разворачиваются атаки XXE. CISA не уточнила, как именно может быть использована CVE-2026-6807.
Однако Анна Куинн, пентестер из Rapid7, разработала общедоступный эксплойт с доказательством концепции и опубликовала его на GitHub.
«Изучив код Grassmarlin, я определила, что вероятные уязвимые параметры связаны с XML-файлами, считываемыми при открытии сохраненных сеансов», — написала Куинн. «Создавая вредоносные запросы, я обнаружила, что могу вызвать ошибку в консоли сообщений внутри Grassmarlin. Причина и содержимое ошибки были должным образом удалены из всех журналов и вывода в Grassmarlin.
«Однако эксфильтрация произвольных файлов по внешнему каналу (OOB) была возможна путем ссылки на внешний хост в DTD. Были отмечены некоторые оговорки: на системе нельзя было использовать новые версии Java, что означало, что Grassmarlin должен был использовать версию Java, поставляемую с установщиком. Кроме того, многие типы ввода вызывали ошибки, которые препятствовали процессу эксфильтрации. Чтобы обойти это, содержимое преобразовывалось в base64, а затем отправлялось несколькими частями сообщения».
В отдельном сообщении в LinkedIn Куинн отметила, что ошибка не представляет большой угрозы для большинства организаций и что ее реалистично можно использовать только посредством фишинга — либо между локальными пользователями, либо через внешние электронные письма. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Connor Jones
