mobsf
Corrigé dans
3.9.8
3.9.7
Une vulnérabilité de Server-Side Request Forgery (SSRF) a été découverte dans Mobile Security Framework (MobSF) avant la version 3.9.7. Cette faille exploite la fonction requests.get() avec allowredirects=True dans la méthode check_url, permettant à un attaquant de manipuler les requêtes et potentiellement d'accéder à des ressources internes. Les versions affectées sont celles inférieures ou égales à 3.7.6. Une correction a été déployée dans la version 3.9.7.
L'exploitation réussie de cette vulnérabilité SSRF permet à un attaquant de forcer MobSF à effectuer des requêtes vers des serveurs arbitraires. Cela peut conduire à la divulgation d'informations sensibles, l'accès à des ressources internes non destinées à être accessibles publiquement, et potentiellement à l'exécution de code malveillant si des ressources vulnérables sont accessibles via cette requête. Cette faille contourne la correction apportée pour CVE-2024-29190, ce qui augmente son impact potentiel. Un attaquant pourrait, par exemple, accéder à des fichiers de configuration sensibles ou exploiter d'autres vulnérabilités sur des serveurs internes.
Cette vulnérabilité a été publiée le 3 décembre 2024. Il n'y a pas d'indication d'une exploitation active à ce jour, mais le contournement de CVE-2024-29190 suggère un risque accru. Un Proof of Concept (PoC) public n'est pas encore disponible, mais la nature de la vulnérabilité SSRF rend sa découverte et son exploitation relativement simples. Le score CVSS de 7.5 (HIGH) indique une probabilité d'exploitation modérée à élevée.
Organizations and individuals using MobSF for mobile application security assessments and malware analysis are at risk. Specifically, those running versions prior to 3.9.7, particularly in environments with sensitive internal resources accessible via HTTP/HTTPS, are most vulnerable. Shared hosting environments where MobSF is deployed could also be at increased risk if proper network isolation is not implemented.
• linux / server: Monitor MobSF logs for outbound requests with 302 redirect responses. Use journalctl -u mobsf to filter for relevant log entries.
journalctl -u mobsf | grep "302 Found"• generic web: Use curl to test for SSRF by attempting to redirect MobSF to an internal resource.
curl -v --location 'http://localhost/_check_url?url=http://internal.example.com'• python: If you have access to the MobSF source code, review the checkurl method for the allow_redirects=True setting and ensure it is removed.
disclosure
Statut de l'Exploit
EPSS
0.17% (percentile 38%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour MobSF vers la version 3.9.7 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution de contournement consiste à configurer un pare-feu d'application web (WAF) pour bloquer les requêtes contenant des redirections vers des domaines non approuvés. Il est également recommandé de désactiver la redirection automatique dans la configuration de MobSF, si possible. Surveillez attentivement les journaux d'accès et d'erreurs pour détecter toute activité suspecte, notamment les requêtes vers des adresses URL inattendues.
Mettez à jour Mobile Security Framework (MobSF) à la version 3.9.7 ou supérieure. Cette version contient la correction pour la vulnérabilité SSRF. Vous pouvez télécharger la dernière version depuis le site web officiel ou mettre à jour via le gestionnaire de paquets correspondant.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-54000 est une vulnérabilité SSRF dans Mobile Security Framework (MobSF) affectant les versions ≤3.7.6, permettant à un attaquant de manipuler les requêtes et d'accéder à des ressources internes.
Vous êtes affecté si vous utilisez Mobile Security Framework (MobSF) dans une version inférieure ou égale à 3.7.6. Mettez à jour vers la version 3.9.7 pour corriger la vulnérabilité.
La solution est de mettre à jour MobSF vers la version 3.9.7 ou supérieure. En attendant, configurez un WAF pour bloquer les redirections suspectes.
Bien qu'il n'y ait pas de confirmation d'exploitation active, le contournement de CVE-2024-29190 suggère un risque potentiel. Soyez vigilant.
Consultez le site web officiel de Mobile Security Framework ou les canaux de communication de la communauté pour obtenir l'avis officiel concernant CVE-2024-54000.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.