CISA предупреждает об уязвимости для кражи данных в инструменте GrassMarlin, разработанном АНБ
Агентство по кибербезопасности и защите инфраструктуры (CISA) выпустило предупреждение об обнаруженной уязвимости в инструменте GrassMarlin, созданном Агентством национальной безопасности (АНБ). Эта брешь позволяет злоумышленникам получить доступ к конфиденциальным данным.
Впервые об уязвимости сообщил Грейди ДеРоса, старший специалист по тестированию на проникновение в промышленных системах компании Dragos. Уязвимость затрагивает все версии GrassMarlin — инструмента, разработанного АНБ как проект с открытым исходным кодом для обеспечения сетевой безопасности в организациях критической инфраструктуры, промышленных системах управления (АСУ ТП) и SCADA-сетях (системы диспетчерского управления и сбора данных).
Поддержка прекращена, исправления не ожидаются
Поддержка GrassMarlin была официально прекращена в 2017 году, поэтому исправления уязвимости не планируются. CISA лишь даёт общие рекомендации: убедиться, что системы управления и устройства недоступны из открытого интернета, изолировать защищённые межсетевыми экранами сети и устройства от корпоративных сетей, а также обеспечить безопасность удалённого доступа.
CISA не предоставила подробных сведений о CVE-2026-6807 (уровень опасности 5.5 по шкале CVSS), однако подтвердила, что успешная эксплуатация этой уязвимости может привести к раскрытию конфиденциальных данных. Тем не менее, в консультативном заключении, опубликованном во вторник, ведомство указало, что «недостаток вызван недостаточной защитой процесса синтаксического анализа XML-файлов».
Принцип действия и XXE-атаки
Подобные атаки (идентифицируемые как CWE-611) затрагивают продукты, обрабатывающие XML-файлы. GrassMarlin активно использует XML-формат для сохранения сессионных данных, включая списки узлов и рёбер, их позиционирование, цветовые схемы и метаданные сессий. Эти данные затем упаковываются в ZIP-архив и сохраняются с расширением .gm3.
Такие уязвимости часто относят к типу атак XML External Entity (XXE). Обычно они заключаются в том, чтобы заставить владельца системы обработать специально созданный XML-файл, модифицированный для эксфильтрации (несанкционированного вывода) данных. Это общее описание принципов работы XXE-атак. CISA, однако, не представила конкретных деталей о том, как именно может быть эксплуатирована уязвимость CVE-2026-6807.
Доказательство концепции и ограничения
Тем не менее, Анна Куинн, специалист по тестированию на проникновение из Rapid7, разработала и опубликовала на GitHub общедоступный прототип эксплойта.
- Правительства в повышенной готовности после обнаружения CISA бэкдора Firestarter в федеральной сети
- «Волшебный анализатор кода Anthropic»: пока скорее швейцарский сыр, чем чеддер
- CISA предписывает федеральным органам устранить 13-летнюю ошибку Apache ActiveMQ, активно используемую злоумышленниками
- ФБР предупреждает: иранские киберактёры нарушают работу объектов водоснабжения и энергетики США
По словам Куинн, при анализе кода GrassMarlin было установлено, что наиболее вероятные уязвимые параметры связаны с XML-файлами, загружаемыми при открытии сохранённых сессий. Специалисту удалось вызвать ошибку в консоли сообщений GrassMarlin путём создания вредоносных запросов. При этом причина и содержание ошибки корректно удалялись из всех логов и вывода программы.
Тем не менее, стала возможна внеполосная (Out-of-Band) эксфильтрация произвольных файлов путём ссылки на внешний хост в DTD (описание типа документа). Отмечается, что существуют определённые ограничения: на системе не должны использоваться более новые версии Java, что подразумевает применение версии, поставляемой с инсталлятором GrassMarlin. Кроме того, многие типы входных данных вызывали ошибки, препятствующие эксфильтрации. Для обхода этого содержимого преобразовывалось в формат base64 и отправлялось несколькими фрагментами.
В отдельном сообщении на LinkedIn Куинн подчеркнула, что эта уязвимость не представляет серьёзной угрозы для большинства организаций, поскольку её эксплуатация реалистична только через фишинг – между локальными пользователями или посредством внешних электронных писем.
