CVE-2024-43399: Critical Zip Slip Vulnerability Discovered in Mobile Security Framework (MobSF)
2024/08/25 SecurityOnline — モバイル・アプリのセキュリティ分析に広く使用されている OSS ツールである Mobile Security Framework (MobSF) に、深刻なセキュリティ上の欠陥が発見された。その脆弱性 CVE-2024-43399 (CVSS:9.8) の悪用に成功した攻撃者は、MobSF を実行しているサーバ上でリモート・コードを実行する可能性を手にする。したがって、このツールを用いてアプリを審査している組織に、セキュリティ侵害が発生する恐れが生じている。
MobSF は、Android/iOS/Windows Mobile プラットフォームのモバイル・アプリに対して、静的/動的な分析機能を提供するパワフルなツールである。サイバー・セキュリティ・コミュニティでは、その侵入テスト/マルウェア分析/プライバシー監査などのタスクにより高く評価されている。
しかし、セキュリティ研究者 Bulutenes による、最近の MobSF のソース・コード・レビューにより、Static Analyzer の “.a” 拡張子ファイルの処理に、重大な欠陥があることが判明した。
この問題は、静的ライブラリ分析セクション内の、”.a” ファイル抽出プロセスに起因する。具体的に言うと、意図しない場所にファイルが抽出されるという、Zip Slip 攻撃を防ぐために設計された緩和手法の実装に欠陥が存在している。その欠陥のあるコードは、”mobsf/StaticAnalyzer/views/common/shared_func.py” ファイルにあり、”….//….//..//.” などの特別に細工されたシーケンスを用いることで、危険なファイルパスを無効化する置換操作がバイパスされてしまう。このバイパスを悪用する攻撃者は、対象となるファイルパスを上位のディレクトリ・レベルへとエスカレートし、重要なシステム・ファイルなどを上書きする可能性を手にする。
この脆弱性の重大性を示すために研究者たちは、悪意のある “.a” アーカイブ・ファイルを用いて PoC エクスプロイトを開発した。このファイルが、MobSF によりスキャンされると、”/home/mobsf/.MobSF/db.sqlite3″ にある MobSF データベースが上書きされ、プラットフォームが使用不能に陥る。この PoC はデータベースを効果的に削除するだけではなく、重要なバイナリや “/etc/passwd” ファイルを上書きしてリモート・コード実行 (RCE) を達成するなどし、さらなる悪意のアクションの実行へと攻撃範囲を広げていく。
脆弱性 CVE-2024-43399 の影響は甚大でである。この脆弱性の悪用に成功した攻撃者は、MobSF を実行しているサーバ上の任意の場所にファイルを抽出し、システム全体を侵害していく可能性を得る。DevSecOps や CI/CD パイプラインで、継続的なセキュリティ評価を MobSF に依存している組織においては、重要なファイルの上書きや RCE の達成などにより、壊滅的な影響を生じる可能性がある。
MobSF のバージョン 4.0.6 以下に影響を生じる。幸いなことに、すでに MobSF の開発者はバージョン 4.0.7 をリリースし、この脆弱性に対処している。ユーザーに対して強く推奨されるのは、最新バージョンへと直ちにアップデートすることだ。
MobSF に発生した脆弱性ですが、小さな見落としによる、大きなリスクという状況を生み出しています。ご利用のチームは、十分に ご注意ください。その MobSF ですが、2024/03/25 の「OSS Cybersecurity Tools 20選:このエコシステムを活用するために知っておくべきことは?」で紹介されていました。その内容は、モバイル・アプリケーションのセキュリティ評価/侵入テスト/マルウェア分析/プライバシー評価などに使用できるというものであり、多くの組織に信頼されているのだろうと思えます。
IoT OT Security News 
You must be logged in to post a comment.