CISA cảnh báo lỗ hổng đánh cắp dữ liệu trong công cụ mạng OT GrassMarlin của NSA

Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đang đưa ra cảnh báo dành cho bất kỳ ai đang sử dụng GrassMarlin – một công cụ được phát triển bởi Cơ quan An ninh Quốc gia (NSA) – về một lỗ hổng bảo mật mới. Kẻ tấn công có thể tận dụng sơ hở này để do thám và đánh cắp các thông tin nhạy cảm.

Lỗ hổng này lần đầu tiên được báo cáo bởi Grady DeRosa, chuyên gia kiểm thử xâm nhập công nghiệp cấp cao tại Dragos. Vấn đề ảnh hưởng đến tất cả các phiên bản của GrassMarlin, công cụ được NSA phát triển và mã nguồn mở nhằm hỗ trợ bảo mật mạng tại các tổ chức cơ sở hạ tầng quan trọng, hệ thống điều khiển công nghiệp (ICS) và mạng SCADA.

Không có bản vá sửa

Một điểm đáng lo ngại là GrassMarlin đã ngừng hỗ trợ (End of Life - EOL) từ năm 2017, do đó sẽ không có bất kỳ bản vá bảo mật nào được phát hành trong tương lai. Thay vào đó, CISA khuyến nghị người dùng cần đảm bảo rằng các hệ thống điều khiển và thiết bị không thể truy cập trực tiếp qua internet mở. Các mạng và thiết bị cần được tường lửa (firewall) để cô lập khỏi mạng kinh doanh, đồng thời quyền truy cập từ xa phải được thiết lập một cách an toàn.

CISA không cung cấp quá nhiều chi tiết cụ thể về CVE-2026-6807 (được đánh giá mức độ nghiêm trọng 5.5), nhưng xác nhận rằng việc khai thác thành công có thể dẫn đến việc lộ các thông tin nhạy cảm.

Nguyên nhân kỹ thuật

Trong một bản tư vấn được công bố vào thứ Ba, cơ quan này cho biết: "Lỗi này xuất phát từ việc quá trình phân tích cú pháp XML không được bảo mật đủ chặt chẽ".

Các loại tấn công này (được phân loại là CWE-611) ảnh hưởng đến các sản phẩm xử lý tệp XML. GrassMarlin chủ yếu sử dụng định dạng XML để lưu các tệp phiên làm việc, sử dụng nhiều tệp để lưu các loại dữ liệu khác nhau như danh sách các nút và cạnh, vị trí nút, màu sắc và siêu dữ liệu phiên, trước khi đóng gói chúng vào một tệp lưu trữ ZIP và lưu với phần mở rộng .gm3.

Loại tấn công này thường được gọi là tấn công XML External Entity (XXE). Thông thường, chúng liên quan đến việc lừa chủ sở hữu hệ thống phân tích một tệp XML độc hại đã bị can thiệp để exfiltrate (tải lén) dữ liệu ra ngoài.

Khai thác qua lừa đảo (Phishing)

Mặc dù CISA không định nghĩa cụ thể cách CVE-2026-6807 có thể được khai thác, nhưng Anna Quinn, chuyên gia kiểm thử xâm nhập tại Rapid7, đã xây dựng một khái niệm khai thác công khai (proof-of-concept) và đăng lên GitHub.

"Nhìn vào mã nguồn của Grassmarlin, tôi xác định rằng các tham số có thể bị lỗi có liên quan đến các tệp XML được nạp khi mở các phiên lưu trữ", Quinn viết. "Bằng cách tạo các yêu cầu độc hại, tôi phát hiện ra mình có thể gây ra lỗi trong bảng điều khiển thông báo trong Grassmarlin".

Quinn giải thích thêm rằng việc exfiltrate các tệp tùy ý ra ngoài (Out-of-Band) là có thể thực hiện được bằng cách tham chiếu đến một máy chủ bên ngoài trong DTD (Document Type Definition). Tuy nhiên, việc khai thác này có một số hạn chế, chẳng hạn như hệ thống không được sử dụng phiên bản Java mới hơn, nghĩa là Grassmarlin phải sử dụng phiên bản Java được đóng gói trong bộ cài đặt.

Để vượt qua các lỗi phân tích cú pháp có thể cản trở quá trình đánh cắp dữ liệu, nội dung sẽ được chuyển đổi sang base64 và sau đó được gửi qua nhiều đoạn thông báo nhỏ.

Trong một bài đăng riêng trên LinkedIn, Quinn nhận định rằng lỗi này sẽ không gây ra quá nhiều mối đe dọa đối với hầu hết các tổ chức. Nó chỉ thực tế có thể được khai thác thông qua các cuộc tấn công lừa đảo (phishing) – giữa người dùng nội bộ hoặc qua email bên ngoài.