NSA GRASSMARLINに、攻撃者が機密情報を漏洩させる可能性のある脆弱性が発見されました。この脆弱性は、XML外部エンティティ参照の不適切な制限に起因します。 ### 脆弱性の詳細 * **影響を受けるソフトウェア:** NSA GRASSMARLIN vers:all/* * **CVSS v3 スコア:** 5.5 * **脆弱性:** XML外部エンティティ参照の不適切な制限 この脆弱性が悪用された場合、攻撃者は機密情報を漏洩させることが可能になります。 ### 背景 * **重要インフラセクター:** 情報技術 * **展開国/地域:** 世界中 * **企業本社所在地:** 米国 ### 推奨される緩和策 **CISA**は、悪用のリスクを最小限に抑えるために、ユーザーが以下の防御策を講じることを推奨しています。 * すべての制御システムデバイスおよび/またはシステムについて、インターネットからアクセスできないようにネットワークへの露出を最小限に抑えてください。 * 制御システムネットワークとリモートデバイスをファイアウォールで保護し、ビジネスネットワークから隔離してください。 * リモートアクセスが必要な場合は、Virtual Private Network（**VPN**）などのより安全な方法を使用してください。ただし、VPNにも脆弱性が存在する可能性があるため、利用可能な最新バージョンに更新する必要があることに留意してください。また、VPNは接続されているデバイスと同等のセキュリティしか持たないことにも留意してください。 * 組織は、防御策を展開する前に、適切な影響分析とリスク評価を実施する必要があります。 **CISA**はまた、cisa.gov/icsのICSウェブページで、制御システムセキュリティの推奨プラクティスに関するセクションを提供しています。「Improving Industrial Control Systems Cybersecurity with Defense-in-Depth Strategies」を含む、サイバー防御のベストプラクティスを詳述したいくつかの**CISA**製品が、閲覧およびダウンロード可能になっています。 **CISA**は、組織がICS資産のプロアクティブな防御のために、推奨されるサイバーセキュリティ戦略を実装することを奨励しています。 追加の緩和ガイダンスと推奨プラクティスは、cisa.gov/icsのICSウェブページで、技術情報ペーパー「ICS-TIP-12-146-01B--Targeted Cyber Intrusion Detection and Mitigation Strategies」で公開されています。 疑わしい悪意のあるアクティビティを観測した組織は、確立された内部手順に従い、他のインシデントとの相関分析のために**CISA**に調査結果を報告する必要があります。 **CISA**はまた、ソーシャルエンジニアリング攻撃から身を守るために、ユーザーが以下の対策を講じることを推奨しています。 * 受信した電子メールメッセージ内のウェブリンクをクリックしたり、添付ファイルを開いたりしないでください。 * 電子メール詐欺を回避する方法については、「Recognizing and Avoiding Email Scams」を参照してください。 * ソーシャルエンジニアリング攻撃については、「Avoiding Social Engineering and Phishing Attacks」を参照してください。 現時点では、この脆弱性を特に標的とした既知の公開された悪用は**CISA**に報告されていません。 ### 謝辞 **Grady DeRosa**氏がこの脆弱性を**CISA**に報告しました。