MobSF ローカル権限昇格

この脆弱性は、攻撃者が不正にAPIトークンを取得し、MobSFのすべての機能にアクセスできることを意味します。これにより、機密情報へのアクセス、設定の変更、さらにはシステムへの影響も考えられます。攻撃者は、取得したAPIトークンを使用して、対象となるモバイルアプリケーションのソースコードを不正に取得したり、分析結果を改ざんしたりする可能性があります。この脆弱性は、類似のAPIキー管理不備による攻撃と同様の被害をもたらす可能性があります。

Organizations using MobSF to analyze mobile applications, particularly those handling sensitive data, are at risk. Teams relying on MobSF for automated security assessments and continuous integration/continuous delivery (CI/CD) pipelines are especially vulnerable, as a compromised MobSF instance could introduce vulnerabilities into the build process.

• python / server:

  grep -r 'API_TOKEN_GENERATION_ENABLED' /opt/mobsf/config.py

• python / server:

  journalctl -u mobsf | grep -i "API token generated"

• generic web: curl -I http://<mobsf_server>/api/v1/users/me/token

Check the response headers for any unusual permissions or roles

1. 2025-02-05Disclosure

   disclosure

1. 予約済み2025-01-23
2. 公開日2025-02-05
3. EPSS 更新日2026-04-02

まず、MobSFをバージョン4.3.1以上にアップデートすることを強く推奨します。アップデートが一時的にシステムに影響を与える可能性がある場合は、バックアップを作成してからアップデートを実行してください。WAFやプロキシサーバーを使用している場合は、不正なAPIトークンからのアクセスをブロックするルールを設定することを検討してください。また、APIトークンの生成と管理に関するセキュリティポリシーを強化し、定期的な監査を実施することも重要です。アップデート後、MobSFのAPIトークンが正しく管理されていることを確認してください。