Mobile Security Framework (MobSF)は、ペンテスト、マルウェア分析、セキュリティ評価を行うためのフレームワークです。バージョン3.7.6以前のMobSFにおいて、checkurlメソッド内のrequests.get()リクエストでallow_redirects=Trueが設定されていることが原因で、サーバーサイドリクエスト偽造(SSRF)の脆弱性が存在します。この脆弱性は、CVE-2024-29190の修正を回避する可能性があります。バージョン3.9.7にアップデートすることで、この脆弱性を修正できます。
このSSRF脆弱性は、攻撃者が内部ネットワークリソースへの不正アクセスを可能にする可能性があります。攻撃者は、MobSFがアクセスできる任意の内部URLをターゲットにすることができ、機密情報へのアクセス、内部サービスの悪用、さらにはネットワークへの侵入につながる可能性があります。特に、.well-known/assetlinks.jsonのようなファイルへのアクセスを試みることで、リダイレクトを悪用し、本来アクセスできないリソースに到達する可能性があります。この脆弱性は、CVE-2024-29190の修正を回避するものであり、より広範囲な攻撃を可能にする可能性があります。
この脆弱性は、2024年12月3日に公開されました。現時点では、KEV(CISA Known Exploited Vulnerabilities)に登録されていません。公開されているPoCは確認されていませんが、SSRFの一般的な攻撃手法が適用可能であると考えられます。NVD(National Vulnerability Database)の情報も参照し、最新の状況を把握することが重要です。
Organizations and individuals using MobSF for mobile application security assessments and malware analysis are at risk. Specifically, those running versions prior to 3.9.7, particularly in environments with sensitive internal resources accessible via HTTP/HTTPS, are most vulnerable. Shared hosting environments where MobSF is deployed could also be at increased risk if proper network isolation is not implemented.
• linux / server: Monitor MobSF logs for outbound requests with 302 redirect responses. Use journalctl -u mobsf to filter for relevant log entries.
journalctl -u mobsf | grep "302 Found"• generic web: Use curl to test for SSRF by attempting to redirect MobSF to an internal resource.
curl -v --location 'http://localhost/_check_url?url=http://internal.example.com'• python: If you have access to the MobSF source code, review the checkurl method for the allow_redirects=True setting and ensure it is removed.
disclosure
エクスプロイト状況
EPSS
0.17% (38% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への最も効果的な対策は、MobSFをバージョン3.9.7にアップデートすることです。アップデートが利用できない場合、一時的な回避策として、WAF(Web Application Firewall)を使用して、外部からのリクエストが内部リソースにアクセスすることを制限できます。また、MobSFの設定で、リダイレクトを許可しないように設定することも有効です。さらに、アクセスログを監視し、異常なリクエストを検出することで、攻撃の兆候を早期に発見できます。アップデート後、MobSFを再起動し、バージョンが3.9.7であることを確認してください。
Mobile Security Framework (MobSF) をバージョン 3.9.7 以降にアップデートしてください。このバージョンには SSRF の脆弱性に対する修正が含まれています。最新バージョンは公式ウェブサイトからダウンロードするか、対応するパッケージマネージャーを通じてアップデートできます。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2024-54000は、MobSFのバージョン3.7.6以前において、checkurlメソッド内のリクエスト処理における設定ミスが原因で発生するサーバーサイドリクエスト偽造(SSRF)の脆弱性です。
はい、MobSFのバージョン3.7.6以前を使用している場合、この脆弱性により内部ネットワークリソースへの不正アクセスを許してしまう可能性があります。
MobSFをバージョン3.9.7にアップデートすることで、この脆弱性を修正できます。
現時点では、確認された積極的な悪用事例はありませんが、SSRFの一般的な攻撃手法が適用可能であると考えられます。
公式のアドバイザリは、MobSFのリリースノートまたはGitHubリポジトリで確認できます。
requirements.txt ファイルをアップロードすると、影響の有無を即座にお知らせします。