Une vulnérabilité a été identifiée dans **NSA GRASSMARLIN** qui pourrait permettre à des attaquants de divulguer des informations sensibles. La vulnérabilité découle d'une restriction inappropriée de la référence d'entité externe XML. ### Détails de la vulnérabilité * **Logiciel affecté :** NSA GRASSMARLIN vers:all/* * **Score CVSS v3 :** 5.5 * **Vulnérabilité :** Restriction inappropriée de la référence d'entité externe XML La vulnérabilité, si elle est exploitée avec succès, pourrait permettre à un attaquant de divulguer des informations sensibles. ### Contexte * **Secteurs d'infrastructure critiques :** Technologies de l'information * **Pays/Régions de déploiement :** Monde entier * **Lieu du siège social de l'entreprise :** États-Unis ### Atténuations recommandées La **CISA** recommande aux utilisateurs de prendre les mesures défensives suivantes pour minimiser le risque d'exploitation : * Minimiser l'exposition réseau de tous les appareils et/ou systèmes de contrôle, en s'assurant qu'ils ne sont pas accessibles depuis Internet. * Placer les réseaux de systèmes de contrôle et les appareils distants derrière des pare-feu et les isoler des réseaux d'entreprise. * Lorsque l'accès à distance est requis, utiliser des méthodes plus sécurisées, telles que les réseaux privés virtuels (**VPN**), en reconnaissant que les VPN peuvent présenter des vulnérabilités et doivent être mis à jour vers la version la plus récente disponible. Reconnaître également que le VPN n'est aussi sécurisé que les appareils connectés. * Les organisations doivent effectuer une analyse d'impact et une évaluation des risques appropriées avant de déployer des mesures défensives. La **CISA** fournit également une section sur les bonnes pratiques recommandées en matière de sécurité des systèmes de contrôle sur la page web ICS de cisa.gov/ics. Plusieurs produits de la **CISA** détaillant les meilleures pratiques de cyberdéfense sont disponibles en lecture et en téléchargement, notamment "Improving Industrial Control Systems Cybersecurity with Defense-in-Depth Strategies". La **CISA** encourage les organisations à mettre en œuvre les stratégies de cybersécurité recommandées pour la défense proactive des actifs ICS. Des conseils d'atténuation supplémentaires et des pratiques recommandées sont publiquement disponibles sur la page web ICS à l'adresse cisa.gov/ics dans le document d'information technique "ICS-TIP-12-146-01B--Targeted Cyber Intrusion Detection and Mitigation Strategies". Les organisations qui observent une activité malveillante suspecte doivent suivre les procédures internes établies et signaler leurs conclusions à la **CISA** pour suivi et corrélation avec d'autres incidents. La **CISA** recommande également aux utilisateurs de prendre les mesures suivantes pour se protéger contre les attaques d'ingénierie sociale : * Ne pas cliquer sur les liens web ni ouvrir les pièces jointes dans les messages électroniques non sollicités. * Se référer à "Recognizing and Avoiding Email Scams" pour plus d'informations sur l'évitement des arnaques par e-mail. * Se référer à "Avoiding Social Engineering and Phishing Attacks" pour plus d'informations sur les attaques d'ingénierie sociale. Aucune exploitation publique connue ciblant spécifiquement cette vulnérabilité n'a été signalée à la **CISA** à l'heure actuelle. ### Remerciements **Grady DeRosa** a signalé cette vulnérabilité à la **CISA**.