サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、国家安全保障局(NSA)が開発したツール「GrassMarlin」を使用している者に対して、攻撃者が機密情報をのぞき見するために利用できる新しい脆弱性について警告しています。
DragosのシニアインダストリアルペネトレーションテスターであるGrady DeRosaによって最初に報告されたこの脆弱性は、重要インフラ組織、産業制御システム、SCADA ネットワークのネットワークセキュリティをサポートするためにNSAが開発しオープンソース化したGrassMarlinのすべてのバージョンに影響を与えます。
GrassMarlinは2017年にEOL(サポート終了)を迎えたため、修正は予定されていません。CISAは単に、制御システムとデバイスがオープンインターネット経由でアクセスできないことを確認し、ファイアウォール保護されたネットワークとデバイスがビジネスネットワークから分離され、リモートアクセスが安全に確立されることを推奨しています。
CISAは典型的なように、CVE-2026-6807(5.5)に関する詳細情報をあまり提供していませんが、成功した悪用は機密情報の開示につながる可能性があることを確認しました。
しかし、火曜日に発表されたアドバイザリでは、「この欠陥はXML解析プロセスの硬化の不十分さに起因している」と述べられています。
これらのタイプの攻撃(CWE-611)はXMLファイルを処理する製品に影響を与えます。GrassMarlinは主にXML形式を使用してセッションファイルを保存し、複数のファイルを使用してノードとエッジのリスト、ノードの位置付け、色、セッションメタデータなどのさまざまな種類のデータを保存してから、それらをZIPアーカイブにバンドルし、.gm3拡張子を使用して保存します。
XML外部エンティティ(XXE)攻撃と呼ばれることが多い、これらは通常、システム所有者をだまして、データを流出させるために改ざんされた悪意のあるXMLファイルを解析させることを含みます。
これはXXE攻撃がどのように機能するかの一般的な概要です。CISAはCVE-2026-6807が具体的にどのように悪用される可能性があるかを定義していません。
Rapid7のペネトレーションテスターであるAnna Quinnは、公開の概念実証悪用を作成してGitHubに投稿しました。
「Grassmarlinのコードを見て、おそらく脆弱なパラメータは、保存されたセッションを開く際に取り込まれるXMLファイルに関連していることを判定しました」とQuinnは書きました。「悪意のあるリクエストを作成することにより、Grassmarlin内のメッセージコンソールでエラーを引き起こすことができることを発見しました。エラーの原因と内容は、Grassmarlin内のすべてのログと出力から適切に削除されました。
「ただし、DTDで外部ホストを参照することにより、任意のファイルのアウト・オブ・バンド(OOB)流出が可能でした。いくつかの注意事項が適用されたようです。Javaの新しいバージョンはシステムで使用できず、つまりGrassMarlinはインストーラーにバンドルされたJavaのバージョンを使用する必要がありました。さらに、多くのタイプの入力はエラーを引き起こし、流出プロセスを妨害する可能性があります。これをバイパスするために、コンテンツはbase64に変換され、複数のメッセージチャンク全体に送信されます。」
LinkedInの別の投稿で、Quinnが指摘したように、このバグはほとんどの組織にとって大きな脅威にはならず、フィッシング(ローカルユーザー間または外部メール)を通じてのみ現実的に悪用される可能性があります。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/04/29/cisa_flags_datatheft_bug_in/
