CVE-2024-29190: SSRF Vulnerability Found in Popular Mobile App Testing Tool, MobSF
2024/03/24 SecurityOnline — Mobile Security Framework (MobSF) に存在する深刻な脆弱性が、. セキュリティ研究者たちにより発見された。この MobSF は、Android/iOS/Windows Mobile アプリケのセキュリティを、分析/テストするためのオープンソースツールであり、広く利用されている。
脆弱性:何が問題か
この脆弱性 CVE-2024-29190 は、SSRF (Server-Side Request Forgery) の欠陥に分類される。この脆弱性の悪用に成功した攻撃者は、MobSF サーバを騙して、ネットワーク内のリソースや、アクセス不能なリソースに対して、リクエストを送ることが可能になる。この種の攻撃により、以下のような影響が生じる可能性がある:
- 内部ネットワークのスキャン:攻撃者は、SSRF を悪用してユーザー組織の内部ネットワークインフラをマッピングし、さらなる攻撃を引き起こしやすい、他のシステムやサーバを特定していく。
- データの流出:内部システムから機密データが接種され、悪意の目的のために使用される可能性がある。
- さらなる攻撃の開始: SSRF には、悪用の連鎖の第一歩となる可能性がある。最終的には、攻撃者による内部システムの侵害やサービス妨害にいたる恐れがある。
仕組み
この脆弱性は、MobSF が AndroidManifest.xml ファイル内の “android:host” タグを処理する際の、入力検証の欠如に起因している。悪意のホスト名を注入することで、MobSF を悪用する攻撃者による、内部システムへのリクエストが可能になる。
影響を受ける人
MobSF バージョン 3.9.5 Beta 以前 (Python パッケージ・インストーラのバージョン 0.3.7 以前) を使用している場合には、この脆弱性の影響を受ける。
修正方法:直ちにアップデート
MobSF の開発者たちにより、脆弱性 CVE-2024-29190 へのパッチが提供されたバージョン (Python パッケージ・インストーラ 3.9.7/0.3.8) がリリースされている。モバイル開発やセキュリティ・テストにおいて MobSF を利用している場合には、可能な限り早急に最新版へとアップデートすることが急務である。
クレジットと PoC
セキュリティ研究者である Enes Bulut と Yunus AYDIN は、この欠陥を発見し、それが悪用される方法を示したとされる。
自分自身を守る
- アップデート:最も重要なステップは、MobSF をアップデートすることである。ソフトウェアの脆弱性は常に発見されるものであり、パッチの迅速なインストールが優先されるべきだ。
- 防御的ネットワークの実践:強固なネットワーク・セグメンテーションとアクセス・コントロールを適用する。それにより、たとえ脆弱性が存在したとしても、SSRF の悪用による潜在的な被害を抑えることが可能となる。
- ユーザー入力に注意する: 特に、悪意のホスト名を含む可能性のあるユーザー入力データを扱う場合は、徹底した入力検証が不可欠となる。
MobSF という、DevOps 系のソフトウェアにおける脆弱性 CVE-2024-29190 (CVSS:7.3) が発見されました。この領域が侵害されると、恐ろしいサプライチェーン攻撃へと発展する可能性も生じます。最近では、JetBrains TeamCity (CI/CD) の脆弱性が話題になっています。開発者の方には、ご用心いただきたいです。
IoT OT Security News 
You must be logged in to post a comment.